ESXiから仮想マシンをハイジャックするマルウェア
いろいろなOSを対象にしたマルウェアがあります。
対象となるOSのなかには、ハイパーバイザーも含まれています。
とても多く使われているハイパーバイザーであるVMwareのESXiもマルウェアのターゲットになります。
これまでESXiをターゲットとし、そのなかにある仮想マシンを暗号化して恐喝するというタイプのランサムウェアは確認されていました。
今回別のタイプのマルウェアが確認されています。
今回確認されているマルウェアは、ESXiに仕掛けられ、その配下にある仮想マシンへの任意のコマンド実行を実現するといった内容のものになっています。
- マルウェアの投入
- ESXiの管理者権限の取得
攻撃に先立ち、何らかの方法で管理者権限を取得していると考えられます。 - VIBとしてインストール
ESXiにはパッケージ管理システムとしてVIBというものがあります。
これまでのESXi上のマルウェアはマルウェアを構成するファイルを直接ESXiのファイルシステム上に配置するタイプのものが確認されていました。
しかし今回のマルウェアは単にファイルを配置するのではなく、ESXiのパッケージ管理システムをインストールする形式でマルウェアを配置されています。
VIBにはいくつかの受け入れレベルがあり、VMWareCertified、VMwareAccepted、PartnerSupported、CommunitySupportedという段階が利用されます。
レベルに応じて信頼度が変わるわけですが、今回のマルウェアは第三者が作成可能なCommunitySupportedではなくPartnerSupportedとしてパッケージされていました。
通常PartnerSupportedとして正しくVIBを作成して利用する場合には正しい署名が必要になります。
ですがこの悪意あるVIBは攻撃者が作成したものですので正しい署名があるわけがありません。
できあがったVIBは通常にVIBをインストールする方法では警告が表示されてインストールすることができないものとなります。
しかし攻撃者が管理者権限を取得してすでに機器を侵害していますので、強制的にこの悪意あるVIBを侵害環境にインストールしています。
- ESXiの管理者権限の取得
- 投入されたマルウェア
- VirtualPita(ESXi用)
ESXi上で利用できるバックドアです。
VMwareのサービス名とポートを利用して、正当なサービスになりすまします。
任意のコマンドの実行、ファイルのアップロードとダウンロード、およびvmsyslogdの開始と停止が可能です。
任意のコマンドの実行中、マルウェアは環境変数設定の悪用によって、マシン上で発生したアクティビティを記録されないようにします。 - VirtualPie(ESXi用)
ESXi上で利用できるバックドアです。
任意のコマンドラインの実行、ファイル転送機能、およびリバース シェル機能が搭載されています。
通信はカスタムプロトコルを使用し、RC4 を使用して暗号化されています。 - VirtualPita(vCenter仮想マシン用)
ESXi上の仮想マシンで動作するvCenterの入ったLinux仮想マシンで動作するバックドアです。
任意のコマンドの実行、ファイルのアップロードとダウンロード、およびvmsyslogdの開始と停止が可能です。 - VirtualGate(Windows仮想マシン用)
これは侵害環境にあるWindowsがインストールされた仮想マシンに送り込まれるマルウェアです。
仮想マシンのメモリにマルウェアを展開する機能を持っています。
- VirtualPita(ESXi用)
こんなものを自組織の環境で展開されたと考えるとぞっとします。
どうやってこういったものに対応しましょう。
認証情報の管理方法の見直しや、各種機器の要塞化が重要ということに思えます。
参考記事(外部リンク):Bad VIB(E)s Part One: Investigating Novel Malware
Persistence Within ESXi Hypervisors
www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence
