在最近的 MITRE 网络攻击中，黑客创建恶意虚拟机以逃避检测

MITRE 公司透露，2023 年 12 月下旬针对这家公司的网络攻击利用了 Ivanti Connect Secure (ICS) 的零日漏洞，攻击者在其 VMware 环境中创建了恶意虚拟机 (VM)。

MITRE 研究人员 Lex Crumpton 和 Charles Clancy表示：“攻击者利用受损的 vCenter Server 访问权限，在 VMware 环境中创建了自己的恶意虚拟机。”

“他们在 vCenter Server 的 Tomcat 服务器下编写并部署了一个 JSP Web Shell（BEEFLUSH）来执行基于 Python 的隧道工具，从而促进对手创建的虚拟机与 ESXi 虚拟机管理程序基础架构之间的 SSH 连接。”

此举背后的动机是通过隐藏其恶意活动来逃避检测，使其不受 vCenter 等集中管理界面的监控，并保持持续访问，同时降低被发现的风险。

上个月，MITRE 披露了与黑客（谷歌旗下的 Mandiant 将其编号为 UNC5221）利用两个 ICS 漏洞 CVE-2023-46805 和 CVE-2024-21887 入侵了其网络实验、研究和虚拟化环境 (NERVE)，随后披露了此次攻击的详细信息。

绕过多因素身份验证并获得初步立足点后，攻击者在网络中横向移动，利用受损的管理员帐户控制 VMware 基础架构，并部署各种后门和 Web shell来保留访问权限和获取凭据。

它包括一个基于 Golang 的后门，代号为 BRICKSTORM，嵌入在恶意虚拟机和两个称为 BEEFLUSH 和 BUSHWALK 的 Web shell 中，允许 UNC5221 执行任意命令并与命令和控制服务器进行通信。

MITRE 表示：“攻击者还使用默认的 VMware 帐户 VPXUSER 进行了七次 API 调用，列举了已安装和未安装的驱动器列表。”

“恶意虚拟机在标准管理流程之外运行，不遵守既定的安全策略，因此很难仅通过 GUI 进行检测和管理。相反，需要特殊的工具或技术才能有效识别和减轻与恶意虚拟机相关的风险。”

针对攻击者秘密绕过检测并保持访问权限的有效对策之一是启用安全启动，通过验证启动过程的完整性来防止未经授权的修改。

该公司表示，还提供两个名为Invoke-HiddenVMQuery和VirtualGHOST的 PowerShell 脚本，以帮助识别和减轻 VMware 环境中的潜在威胁。