Aanvallers installeren backdoors in ESXi hypervisors

Aanvallers installeren backdoors in ESXi hypervisors met een onbekende techniek zo meldt Mandiant in een blog. Het gaat om aanvallers van kwaadaardige vSphere-installatiebundels ("VIB's") die meerdere backdoors te installeren op ESXi-hypervisors, met de nadruk op de malware die aanwezig is in de VIB-payloads. 

In een blog beschrijft Mandiant de andere acties van aanvallers, zoals timestamping, ESXi-detectiemethodologieën om procesgeheugen te dumpen en YARA-scans uit te voeren.

Ook bespreekt Mandiant hoe hypervisors verder kunnen worden versterkt om het aanvalsoppervlak van ESXi-hosts te minimaliseren.

Mandiant veveelt het volgende aan:

Netwerkisolatie

Schakel bij het configureren van netwerken op de ESXi-hosts alleen VMkernel-netwerkadapters in op het geïsoleerde beheernetwerk. VMkernel-netwerkadapters bieden netwerkconnectiviteit voor de ESXi-hosts en verwerken het benodigde systeemverkeer voor functionaliteit zoals vSphere vMotion, vSAN en vSphere-replicatie. Zorg ervoor dat alle afhankelijke technologieën zoals vSAN's en back-upsystemen die de virtualisatie-infrastructuur zal gebruiken, beschikbaar zijn op dit geïsoleerde netwerk. Gebruik indien mogelijk speciale beheersystemen die uitsluitend op dit geïsoleerde netwerk zijn aangesloten om alle beheertaken van de virtualisatie-infrastructuur uit te voeren.

Identiteits- en toegangsbeheer

Overweeg om ESXi- en vCenter-servers los te koppelen van Active Directory en vCenter Single Sign-On te gebruiken. Door ESXi en vCenter uit Active Directory te verwijderen, wordt voorkomen dat gecompromitteerde Active Directory-accounts kunnen worden gebruikt om rechtstreeks te verifiëren bij de virtualisatie-infrastructuur. Zorg ervoor dat beheerders afzonderlijke en speciale accounts gebruiken voor het beheren van en toegang krijgen tot de gevirtualiseerde infrastructuur. Dwing multi-factor authenticatie (MFA) af voor alle beheertoegang tot vCenter Server-instanties en sla alle beheerdersreferenties op in een Privileged Access Management (PAM)-systeem.

Dienstenbeheer

Om services en beheer van ESXi-hosts verder te beperken, implementeert u de lockdown-modus. Dit zorgt ervoor dat ESXi-hosts alleen toegankelijk zijn via een vCenter-server, schakelt sommige services uit en beperkt sommige services tot bepaalde gedefinieerde gebruikers. Configureer de ingebouwde ESXi-hostfirewall om alleen beheertoegang te beperken vanaf specifieke IP-adressen of subnetten die verband houden met beheersystemen op het geïsoleerde netwerk. Bepaal het juiste risicoacceptatieniveau voor vSphere Installable Bundles (VIB's) en dwing acceptatieniveaus af in de beveiligingsprofielen voor ESXi-hosts. Dit beschermt de integriteit van de hosts en zorgt ervoor dat niet-ondertekende VIB's niet kunnen worden geïnstalleerd.

Logboekbeheer

Gecentraliseerde logging van ESXi-omgevingen is van cruciaal belang, zowel om proactief mogelijk kwaadaardig gedrag te detecteren als om een daadwerkelijk incident te onderzoeken. Zorg ervoor dat alle ESXi-host- en vCenter Server-logboeken worden doorgestuurd naar de SIEM-oplossing van de organisatie. Dit biedt inzicht in beveiligingsgebeurtenissen die verder gaan dan die van normale administratieve activiteiten.