ESXiから仮想マシンをハイジャックするマルウェア

ほぼこもセキュリティニュース By Terilogy Worx

いろいろなOSを対象にしたマルウェアがあります。
対象となるOSのなかには、ハイパーバイザーも含まれています。
とても多く使われているハイパーバイザーであるVMwareのESXiもマルウェアのターゲットになります。
これまでESXiをターゲットとし、そのなかにある仮想マシンを暗号化して恐喝するというタイプのランサムウェアは確認されていました。
今回別のタイプのマルウェアが確認されています。

今回確認されているマルウェアは、ESXiに仕掛けられ、その配下にある仮想マシンへの任意のコマンド実行を実現するといった内容のものになっています。

  • マルウェアの投入
    • ESXiの管理者権限の取得
      攻撃に先立ち、何らかの方法で管理者権限を取得していると考えられます。

       

    • VIBとしてインストール
      ESXiにはパッケージ管理システムとしてVIBというものがあります。
      これまでのESXi上のマルウェアはマルウェアを構成するファイルを直接ESXiのファイルシステム上に配置するタイプのものが確認されていました。
      しかし今回のマルウェアは単にファイルを配置するのではなく、ESXiのパッケージ管理システムをインストールする形式でマルウェアを配置されています。
      VIBにはいくつかの受け入れレベルがあり、VMWareCertified、VMwareAccepted、PartnerSupported、CommunitySupportedという段階が利用されます。
      レベルに応じて信頼度が変わるわけですが、今回のマルウェアは第三者が作成可能なCommunitySupportedではなくPartnerSupportedとしてパッケージされていました。
      通常PartnerSupportedとして正しくVIBを作成して利用する場合には正しい署名が必要になります。
      ですがこの悪意あるVIBは攻撃者が作成したものですので正しい署名があるわけがありません。
      できあがったVIBは通常にVIBをインストールする方法では警告が表示されてインストールすることができないものとなります。
      しかし攻撃者が管理者権限を取得してすでに機器を侵害していますので、強制的にこの悪意あるVIBを侵害環境にインストールしています。
  • 投入されたマルウェア
    • VirtualPita(ESXi用)
      ESXi上で利用できるバックドアです。
      VMwareのサービス名とポートを利用して、正当なサービスになりすまします。
      任意のコマンドの実行、ファイルのアップロードとダウンロード、およびvmsyslogdの開始と停止が可能です。
      任意のコマンドの実行中、マルウェアは環境変数設定の悪用によって、マシン上で発生したアクティビティを記録されないようにします。

       

    • VirtualPie(ESXi用)
      ESXi上で利用できるバックドアです。
      任意のコマンドラインの実行、ファイル転送機能、およびリバース シェル機能が搭載されています。
      通信はカスタムプロトコルを使用し、RC4 を使用して暗号化されています。

       

    • VirtualPita(vCenter仮想マシン用)
      ESXi上の仮想マシンで動作するvCenterの入ったLinux仮想マシンで動作するバックドアです。
      任意のコマンドの実行、ファイルのアップロードとダウンロード、およびvmsyslogdの開始と停止が可能です。

       

    • VirtualGate(Windows仮想マシン用)
      これは侵害環境にあるWindowsがインストールされた仮想マシンに送り込まれるマルウェアです。
      仮想マシンのメモリにマルウェアを展開する機能を持っています。

こんなものを自組織の環境で展開されたと考えるとぞっとします。
どうやってこういったものに対応しましょう。
認証情報の管理方法の見直しや、各種機器の要塞化が重要ということに思えます。

参考記事(外部リンク):Bad VIB(E)s Part One: Investigating Novel Malware
Persistence Within ESXi Hypervisors

www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。