Defensas infiltradas: abuso de VMware en la intrusión cibernética de MITRE | de Lex Crumpton | MITRE-Ingenio | mayo, 2024
Escrito por Lex Crumpton y Charles Clancy.
Esta es la tercera y última publicación de blog de una serie que detalla el encuentro de MITRE con un actor de amenazas cibernéticas patrocinado por el estado en nuestra red de investigación y experimentación, NERVE. Se basa en los conocimientos compartidos en nuestra publicación del 19 de abril de 2024: «Las amenazas cibernéticas avanzadas afectan incluso a los más preparados» y publicación del 3 de mayo de 2024 «Análisis técnico profundo: comprensión de la anatomía de una intrusión cibernética”. Seguimos trabajando en MITRE, incluido nuestro equipo de seguridad de la información, para ayudar a todos los equipos de seguridad a comprender y defenderse contra esta amenaza.
En esta publicación de nuestra serie, brindamos detalles técnicos del nuevo comportamiento empleado por el adversario, que se alinea con Google Mandiant. UNC5221y cómo el TORMENTA DE LADRILLOS puerta trasera y CARNE web shell abusó de las máquinas virtuales en VMware a través de una cuenta de usuario privilegiada, VPXUSER, para establecer persistencia dentro del entorno afectado. También proporcionaremos scripts de detección, de MITRE y CrowdStrike, para encontrar esta actividad en otros entornos y repasar cómo Secure Boot sirve como barrera contra la técnica del adversario.
en nuestra primera entrada en el blogcompartimos la experiencia de enfrentar una ciberintrusión dirigida al Entorno de Virtualización, Investigación y Experimentación en Red (NERVE) de MITRE a través de dos Vulnerabilidades de día cero de Ivanti Connect Secure que pasó por alto nuestra autenticación multifactor. El adversario maniobró dentro de la red de investigación a través de la infraestructura VMware utilizando una cuenta de administrador comprometida y luego empleó una combinación de puertas traseras y shells web para mantener la persistencia y recopilar credenciales.
En nuestro segundo entrada en el blog, profundizamos en los detalles técnicos de la intrusión, incluida una cronología de eventos, indicadores de compromiso y análisis de malware. Además, revelamos aspectos novedosos que Mandiant u otras fuentes de inteligencia sobre amenazas no informaron anteriormente, que incluyen:
- Detalles sobre el CARNE caparazón web; y
- Componentes únicos del CAMINATA web shell visto en nuestro incidente.
Antes de profundizar en las técnicas empleadas por el adversario para abusar de la infraestructura de VMware, es esencial comprender el contexto general: el adversario ya había obtenido acceso administrativo a la infraestructura de NERVE ESXi.
Pícaro Las máquinas virtuales se crean y administran a través de cuentas de servicio directamente en el hipervisor, en lugar de a través de la consola administrativa de vCenter. Como resultado, estas máquinas virtuales no aparecen en el inventario.
Como dijimos en la segunda publicación, “El 5 de enero de 2024, el adversario intensificó su ataque con máquinas virtuales manipuladas y credenciales administrativas comprometidas para establecer el control sobre la infraestructura. Específicamente, sus acciones incluyeron intentos de habilitar SSH, destrucción de una de sus propias máquinas virtuales y descargas de archivos”.
El adversario creó sus propias máquinas virtuales no autorizadas dentro del entorno VMware, aprovechando el acceso comprometido a vCenter Server. Escribieron e implementaron un shell web JSP (CARNE) bajo el servidor Tomcat de vCenter Server para ejecutar una herramienta de tunelización basada en Python, lo que facilita las conexiones SSH entre las máquinas virtuales creadas por el adversario y la infraestructura del hipervisor ESXi.
Al implementar máquinas virtuales no autorizadas, los adversarios pueden evadir la detección ocultando sus actividades en interfaces de administración centralizadas como vCenter. Esto les permite mantener el control sobre los sistemas comprometidos y al mismo tiempo minimizar el riesgo de descubrimiento.
En el entorno de VMware, detectar la actividad del adversario exige un escrutinio meticuloso. Por ejemplo, los adversarios podrían habilitar SSH en hipervisores e iniciar sesión enrutando el tráfico a través de vCenter Server. Esta técnica subraya la importancia de monitorear la actividad SSH en busca de signos de acceso no autorizado.
Qué buscar:
- Habilitación SSH anómala: Esté atento a posibles apariciones inesperadas de mensajes de «Inicio de sesión SSH habilitado». Cualquier activación de SSH fuera del ciclo administrativo normal podría indicar actividad maliciosa.
- Sesiones SSH inusuales: Supervise las desviaciones del patrón esperado de sesiones SSH que se abren. Esté atento a los casos en los que los mensajes «Se abrió una sesión SSH» aparecen inesperadamente o en momentos inusuales.
Como dijimos en la segunda publicación, “Avanzando hasta el 7 de enero de 2024, el adversario accedió a las máquinas virtuales y desplegó cargas útiles maliciosas, las TORMENTA DE LADRILLOS puerta trasera y el CARNE caparazón web. El adversario también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas API que enumeraban una lista de unidades montadas y desmontadas”.
El adversario eludió los mecanismos de detección desplegando pícaro Las máquinas virtuales, como VPXUSER, directamente en hipervisores usando SFTP para escribir archivos y luego ejecutarlos con /bin/vmx
. Al hacer esto, estas máquinas virtuales no autorizadas no eran detectables a través de vCenter, la interfaz web de ESXi e incluso algunas utilidades de línea de comandos en el hipervisor que consultan la API.
Estas máquinas virtuales maliciosas contenían el TORMENTA DE LADRILLOS mecanismos de puerta trasera y persistencia, ver publicación de blog 2que se configuraron con interfaces de red duales para la comunicación tanto con Internet/C2 como con las subredes administrativas centrales dentro de la red de prototipos.
Los adversarios a menudo pueden aprovechar la cuenta vpxuser para realizar diversas tareas administrativas, como enumerar máquinas virtuales, acceder a los ajustes de configuración e interactuar con la infraestructura del hipervisor subyacente. Además, los adversarios pueden implementar máquinas virtuales no autorizadas directamente en los hipervisores para evadir los mecanismos de detección y mantener la persistencia dentro del entorno. Las máquinas virtuales no autorizadas, que se crean y operan sin la autorización y administración adecuadas por parte del hipervisor, brindan a los adversarios un punto de apoyo sigiloso para realizar actividades maliciosas. Estas máquinas virtuales pueden eludir los controles de visibilidad dentro de las interfaces de administración de VMware, lo que dificulta su detección y mitigación.
La protección contra máquinas virtuales no autorizadas y cualquier persistencia resultante exige un enfoque vigilante. El simple hecho de utilizar la interfaz de administración del hipervisor para administrar las máquinas virtuales suele ser insuficiente y puede resultar inútil cuando se trata de máquinas virtuales no autorizadas. Esto se debe a que las máquinas virtuales no autorizadas operan fuera de los procesos de administración estándar y no cumplen con las políticas de seguridad establecidas, lo que las hace difíciles de detectar y administrar únicamente a través de la GUI. En cambio, se necesitan herramientas o técnicas especiales para identificar y mitigar eficazmente los riesgos asociados con las máquinas virtuales no autorizadas.
Qué buscar:
Uso de la línea de comandos: Utilice los siguientes comandos en un hipervisor ESXi para identificar máquinas virtuales no registradas:
vim-cmd vmsvc/getallvms
esxcli vm process list | grep Display
Comparación de listas de máquinas virtuales: Compara la salida de vim-cmd
(verificación de VM basada en API) con la lista de VM en ejecución obtenida de esxcli
.
- Diferencias en la lista de VM entre la salida de un
vim-cmd
(que buscará máquinas virtuales a través de la API) y la lista de máquinas virtuales en ejecución queesxcli
see (que consulta directamente al hipervisor del host) indica un problema potencial. Una máquina virtual que se ejecuta en un hipervisor que no se ve a través de los datos de la máquina virtual registrada a través de API justifica una mayor investigación como posible máquina virtual no registrada o no autorizada.
Para abordar la persistencia de estas máquinas virtuales no autorizadas, es fundamental examinar los scripts de inicio del hipervisor.
Qué buscar
Mecanismo de persistencia: Monitorear la modificación de los legítimos /etc/rc.local.d/local.sh
archivo para incluir la siguiente línea:
/bin/vmx -x /vmfs/volumes///.vmx 2>/dev/null 0>/dev/null &
Identificación de persistencia: Búsqueda de invocaciones del /bin/vmx
binario dentro /etc/rc.local.d/
o más específicamente revisando manualmente el local.sh
script de inicio con los siguientes comandos:
grep -r \/bin\/vmx /etc/rc.local.d/
cat /etc/rc.local.d/local.sh
MITRE comparte dos scripts diseñados para identificar y mitigar amenazas potenciales dentro del entorno VMware. El primer guión, desarrollado por MITRE, Invocar-HiddenVMQuery está escrito en PowerShell y sirve para detectar actividades maliciosas. Busca invocaciones anómalas del /bin/vmx
binario dentro rc.local.d
guiones.
Además, comprueba la presencia de máquinas virtuales no autorizadas cruzando datos obtenidos de dos fuentes: el vim-cmd
utilidad, que consulta las máquinas virtuales a través de la API, y la lista de máquinas virtuales en ejecución recuperadas por esxcli
, una interfaz de línea de comandos que consulta directamente al hipervisor del host. Cualquier máquina virtual detectada ejecutándose en un hipervisor pero que no esté incluida en los datos de la máquina virtual registrada a través de API justifica una investigación inmediata como una amenaza potencial.
También compartimos un script de PowerShell, FANTASMA virtual, que CrowdStrike preparó para ayudar a detectar evidencia de máquinas virtuales no registradas usando PowerCLI y ayudar a escalar los ejercicios de búsqueda mediante la ejecución de scripts de forma remota. Gracias a CrowdStrike por su colaboración en la identificación de estas tácticas, técnicas y procedimientos (TTP) del adversario.
Al aprovechar estos scripts, las organizaciones pueden identificar y responder a actividades sospechosas, reforzando sus defensas de ciberseguridad contra las amenazas en evolución.
Según la consulta con el equipo de VMware PSIRT, la contramedida más eficaz para frustrar el mecanismo de persistencia es habilitar el arranque seguro. El arranque seguro es una característica de seguridad diseñada para verificar la integridad del proceso de arranque de un host, mitigando el riesgo de modificaciones no autorizadas.
Habilitar el arranque seguro sirve como defensa contra los adversarios que buscan establecer un acceso persistente dentro del entorno de VMware. Al verificar la integridad del proceso de arranque, el arranque seguro evita que actores malintencionados inyecten código no autorizado.
Esta contramedida se alinea con la Mitigación MITRE ATT&CK: Integridad del arranque (M1046).
Al fortalecer el proceso de arranque con un arranque seguro, las organizaciones pueden frustrar los esfuerzos de los adversarios por evadir la detección y mantener el acceso no autorizado a los sistemas críticos.
Para obtener información detallada sobre esta característica y su implementación, consulte el siguiente recurso: Documentación de arranque seguro de VMware.
A medida que los adversarios continúan evolucionando sus tácticas y técnicas, es imperativo que las organizaciones permanezcan alerta y adaptables en la defensa contra las amenazas cibernéticas. Al comprender y contrarrestar los nuevos comportamientos de sus adversarios, podemos reforzar nuestras defensas y salvaguardar activos críticos contra futuras intrusiones.
Para obtener IOC y contexto adicionales, incluso para obtener más detalles sobre los exploits, las puertas traseras y el C2 involucrados, consulte nuestra publicación anterior.
El Centro para la defensa informada contra amenazas es una organización de investigación y desarrollo sin fines de lucro con financiación privada operada por MITRE Engenuity. La misión del Centro es promover el estado del arte y la práctica en defensa basada en amenazas a nivel mundial. Compuesto por organizaciones participantes de todo el mundo con equipos de seguridad altamente sofisticados, el Centro se basa en MITRE ATT&CK, una base importante para la defensa basada en amenazas utilizada por equipos y proveedores de seguridad en sus operaciones de seguridad empresarial. Debido a que el Centro opera para el bien público, los resultados de su investigación y desarrollo están disponibles públicamente y para el beneficio de todos.
© 2024 MITRE Engenuity, LLC. Aprobado para publicación pública. Número de documento CT0117.