[English]Der von Google übernommene Sicherheitsanbieter Mandiant ist auf eine neue Malware-Familie (VirtualPITA, VirtualPIE und VirtualGATE) gestoßen, die es auf Virtualisierunglösungen wie VMware ESXi Server abgesehen hat und spezialisierte Techniken zum Eindringen verwendet. VMware hat einen entsprechenden Sicherheitshinweis veröffentlicht, und das US-CERT warnt ebenfalls vor dieser Malware.
Anzeige
US-CERT-Warnung
Das US-CERT weist in nachfolgendem Tweet darauf hin, dass Thread-Aktoren eine spezielle Malware, bekannt als VirtualPITA, VirtualPIE und VirtualGATE, verwenden, um dauerhaften Zugriff auf ESXi-Instanzen zu erhalten.
Die Entdeckung von Mandiant
Anfang dieses Jahres hat Mandiant ein neuartiges Malware-Ökosystem identifiziert, das sich auf VMware ESXi, Linux vCenter-Server und virtuelle Windows-Maschinen auswirkt und es einem Bedrohungsakteur ermöglicht, die folgenden Aktionen durchzuführen:
- Dauerhafter administrativer Zugriff auf den Hypervisor
- Senden von Befehlen an den Hypervisor, die zur Ausführung an die Gast-VM weitergeleitet werden
- Übertragen von Dateien zwischen dem ESXi-Hypervisor und den darunter ausgeführten Gastcomputern
- Eingriffe in die Protokollierungsdienste des Hypervisors
- Ausführen beliebiger Befehle von einer Gast-VM zu einer anderen Gast-VM, die auf demselben Hypervisor läuft
Mandiant stieß auf diese Malware, als ein kompromittiertes System untersucht und nachgeschaut wurde, wie die Angreifer eindringen konnten. Mandiant fand heraus, dass ein Angreifer Befehle von dem legitimen VMware Tools-Prozess vmtoolsd.exe auf einer virtuellen Windows-Maschine abschicken konnte. Diese virtuelle Maschine wurde auf einem VMware ESXi-Hypervisor. Mandiant analysierte das Boot-Profil für die ESXi-Hypervisoren und identifizierte eine noch nie dagewesene Technik, bei der ein Bedrohungsakteur bösartige vSphere Installation Bundles ("VIBs") nutzte, um mehrere Backdoors auf den ESXi-Hypervisoren zu installieren.
Anzeige
Letztendlich konnte Mandiant zwei neue Malware-Familien identifizieren, die über bösartige vSphere Installation Bundles (VIBs) installiert werden. Mandiant nannte diese Hintertüren VIRTUALPITA und VIRTUALPIE.
VMware VIBs sind Sammlungen von Dateien, die die Softwareverteilung und die Verwaltung virtueller Systeme erleichtern sollen. Da ESXi ein In-Memory-Dateisystem verwendet, werden Dateibearbeitungen nicht über Neustarts hinweg gespeichert. Ein VIB-Paket kann zum Erstellen von Startaufgaben, benutzerdefinierten Firewall-Regeln oder zur Bereitstellung benutzerdefinierter Binärdateien beim Neustart einer ESXi-Maschine verwendet werden.
Diese VIB-Pakete (Beschreibung über XML-Dateien) werden in der Regel von Administratoren verwendet, um Aktualisierungen bereitzustellen und Systeme zu warten. Dieser Angreifer nutzte die Pakete jedoch als Persistenzmechanismus, um den Zugriff über ESXi-Hypervisoren hinweg aufrechtzuerhalten. Mandiant beschreibt die Details im Blog-Beitrag Bad VIB(E)s Part One: Investigating Novel Malware Persistence Within ESXi Hypervisors vom 29. September 2022.
VMware veröffentlich Support-Artikel
VMware hat inzwischen den Support-Beitrag Protecting vSphere From Specialized Malware zu diesem Sachverhalt veröffentlicht. Dort finden sich ergänzende Hinweise zum Angriff und was man gegen diese Art Malware tun kann. Weiterhin wurde von VMware speziell für die im Mandiant-Bericht beschriebenen Techniken eine Anleitung zur Abschwächung und Erkennung entwickelt. Diese Anleitung findet sich im VMware Knowledge Base 89619 – Mitigation and Threat Hunting Guidance for Unsigned vSphere Installation Bundles (VIBs) in ESXi. Der Knowledge Base-Artikel enthält auch ein Erkennungsskript zur Automatisierung des Prozesses der Überprüfung einer Umgebung.
Anzeige
