{"id":273318,"date":"2022-09-30T12:58:42","date_gmt":"2022-09-30T10:58:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273318"},"modified":"2024-05-07T01:16:20","modified_gmt":"2024-05-06T23:16:20","slug":"mandiant-vmware-und-us-cert-warnen-vor-malware-die-auf-vmware-esxi-server-zielt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/30\/mandiant-vmware-und-us-cert-warnen-vor-malware-die-auf-vmware-esxi-server-zielt\/","title":{"rendered":"Mandiant, VMware und US-CERT warnen vor Malware, die auf VMware ESXi Server zielt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/09\/30\/mandiant-vmware-und-us-cert-warnen-vor-malware-die-auf-vmware-esxi-server-zielt\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Der von Google \u00fcbernommene Sicherheitsanbieter Mandiant ist auf eine neue Malware-Familie (VirtualPITA, VirtualPIE und VirtualGATE) gesto\u00dfen, die es auf Virtualisierungl\u00f6sungen wie VMware ESXi Server abgesehen hat und spezialisierte Techniken zum Eindringen verwendet. VMware hat einen entsprechenden Sicherheitshinweis ver\u00f6ffentlicht, und das US-CERT warnt ebenfalls vor dieser Malware.<\/p>\n<p><!--more--><\/p>\n<h2>US-CERT-Warnung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/f481a09521774e33bb58d71634b09410\" alt=\"\" width=\"1\" height=\"1\" \/>Das US-CERT weist in nachfolgendem <a href=\"https:\/\/twitter.com\/USCERT_gov\/status\/1575600759692984322\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> darauf hin, dass Thread-Aktoren eine spezielle Malware, bekannt als VirtualPITA, VirtualPIE und VirtualGATE, verwenden, um dauerhaften Zugriff auf ESXi-Instanzen zu erhalten.<\/p>\n<p><a href=\"https:\/\/twitter.com\/USCERT_gov\/status\/1575600759692984322\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\" US-CERT warns about malware, addressing VMware ESXi Server \" src=\"https:\/\/i.imgur.com\/vHpVqY1.png\" alt=\" US-CERT warns about malware, addressing VMware ESXi Server \" \/><\/a><\/p>\n<h2>Die Entdeckung von Mandiant<\/h2>\n<p>Anfang dieses Jahres hat Mandiant ein neuartiges Malware-\u00d6kosystem identifiziert, das sich auf VMware ESXi, Linux vCenter-Server und virtuelle Windows-Maschinen auswirkt und es einem Bedrohungsakteur erm\u00f6glicht, die folgenden Aktionen durchzuf\u00fchren:<\/p>\n<ul>\n<li>Dauerhafter administrativer Zugriff auf den Hypervisor<\/li>\n<li>Senden von Befehlen an den Hypervisor, die zur Ausf\u00fchrung an die Gast-VM weitergeleitet werden<\/li>\n<li>\u00dcbertragen von Dateien zwischen dem ESXi-Hypervisor und den darunter ausgef\u00fchrten Gastcomputern<\/li>\n<li>Eingriffe in die Protokollierungsdienste des Hypervisors<\/li>\n<li>Ausf\u00fchren beliebiger Befehle von einer Gast-VM zu einer anderen Gast-VM, die auf demselben Hypervisor l\u00e4uft<\/li>\n<\/ul>\n<p>Mandiant stie\u00df auf diese Malware, als ein kompromittiertes System untersucht und nachgeschaut wurde, wie die Angreifer eindringen konnten. Mandiant fand heraus, dass ein Angreifer Befehle von dem legitimen VMware Tools-Prozess <em>vmtoolsd.exe <\/em>auf einer virtuellen Windows-Maschine abschicken konnte. Diese virtuelle Maschine wurde auf einem VMware ESXi-Hypervisor. Mandiant analysierte das Boot-Profil f\u00fcr die ESXi-Hypervisoren und identifizierte eine noch nie dagewesene Technik, bei der ein Bedrohungsakteur b\u00f6sartige vSphere Installation Bundles (\"VIBs\") nutzte, um mehrere Backdoors auf den ESXi-Hypervisoren zu installieren.<\/p>\n<p>Letztendlich konnte Mandiant zwei neue Malware-Familien identifizieren, die \u00fcber b\u00f6sartige vSphere Installation Bundles (VIBs) installiert werden. Mandiant nannte diese Hintert\u00fcren VIRTUALPITA und VIRTUALPIE.<\/p>\n<blockquote><p>VMware VIBs sind Sammlungen von Dateien, die die Softwareverteilung und die Verwaltung virtueller Systeme erleichtern sollen. Da ESXi ein In-Memory-Dateisystem verwendet, werden Dateibearbeitungen nicht \u00fcber Neustarts hinweg gespeichert. Ein VIB-Paket kann zum Erstellen von Startaufgaben, benutzerdefinierten Firewall-Regeln oder zur Bereitstellung benutzerdefinierter Bin\u00e4rdateien beim Neustart einer ESXi-Maschine verwendet werden.<\/p><\/blockquote>\n<p>Diese VIB-Pakete (Beschreibung \u00fcber XML-Dateien) werden in der Regel von Administratoren verwendet, um Aktualisierungen bereitzustellen und Systeme zu warten. Dieser Angreifer nutzte die Pakete jedoch als Persistenzmechanismus, um den Zugriff \u00fcber ESXi-Hypervisoren hinweg aufrechtzuerhalten. Mandiant beschreibt die Details im Blog-Beitrag <a href=\"https:\/\/www.mandiant.com\/resources\/blog\/esxi-hypervisors-malware-persistence\" target=\"_blank\" rel=\"noopener\">Bad VIB(E)s Part One: Investigating Novel Malware Persistence Within ESXi Hypervisors<\/a> vom 29. September 2022.<\/p>\n<h2>VMware ver\u00f6ffentlich Support-Artikel<\/h2>\n<p>VMware hat inzwischen den Support-Beitrag <a href=\"https:\/\/core.vmware.com\/vsphere-esxi-mandiant-malware-persistence\" target=\"_blank\" rel=\"noopener\">Protecting vSphere From Specialized Malware<\/a> zu diesem Sachverhalt ver\u00f6ffentlicht. Dort finden sich erg\u00e4nzende Hinweise zum Angriff und was man gegen diese Art Malware tun kann. Weiterhin wurde von VMware speziell f\u00fcr die im Mandiant-Bericht beschriebenen Techniken eine Anleitung zur Abschw\u00e4chung und Erkennung entwickelt. Diese Anleitung findet sich im <a href=\"https:\/\/web.archive.org\/web\/20231223223346\/https:\/\/kb.vmware.com\/s\/article\/89619\">VMware Knowledge Base 89619 &#8211; Mitigation and Threat Hunting Guidance for Unsigned vSphere Installation Bundles (VIBs) in ESXi<\/a>. Der Knowledge Base-Artikel enth\u00e4lt auch ein Erkennungsskript zur Automatisierung des Prozesses der \u00dcberpr\u00fcfung einer Umgebung.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der von Google \u00fcbernommene Sicherheitsanbieter Mandiant ist auf eine neue Malware-Familie (VirtualPITA, VirtualPIE und VirtualGATE) gesto\u00dfen, die es auf Virtualisierungl\u00f6sungen wie VMware ESXi Server abgesehen hat und spezialisierte Techniken zum Eindringen verwendet. VMware hat einen entsprechenden Sicherheitshinweis ver\u00f6ffentlicht, und das &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/09\/30\/mandiant-vmware-und-us-cert-warnen-vor-malware-die-auf-vmware-esxi-server-zielt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,14],"tags":[4328,4299],"class_list":["post-273318","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virtualisierung","tag-sicherheit","tag-virtualisierung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273318","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273318"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273318\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273318"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273318"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273318"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}