不良 VIB(E) 第二部 ESXi 虚拟机管理程序内的检测和强化

在第一部分中，我们介绍了攻击者如何使用恶意vSphere 安装包（“VIB”）跨 ESXi 虚拟机管理程序安装多个后门，重点关注 VIB 有效负载中存在的恶意软件。在本期中，我们将继续进一步阐述其他攻击者操作（例如时间戳），描述转储进程内存和执行 YARA 扫描的 ESXi 检测方法，并讨论如何进一步强化虚拟机管理程序以最大限度地减少 ESXi 主机的攻击面。有关更多详细信息，  VMware 发布了 有关保护 vSphere 的其他信息。

ESXI 日志记录
VIRTUALPITA 和 VIRTUALPIE 都会阻止vmsyslogd进程在启动时记录活动，但虚拟机管理程序中存在多个日志记录进程，这些进程仍然可用于跟踪攻击者活动。

恶意 VIB 安装
先前在第一部分中已确定，ESXi 系统 B2B 电子邮件列表 不允许低于最低设置接受级别的伪造 VIB 文件，即使在描述符 XML 中修改了接受级别也是如此。为了规避此问题，攻击者滥用该--force 标志来安装恶意CommunitySupportedVIB。此标志添加的 VIB 或映像配置文件的接受级别低于主机所需的级别。

--force在 ESXi 虚拟机管理程序上的多个位置发现了用于安装 VIB 的标志使用情况的证据。ESXi 配置文件 XML 文件记录系统上已安装的所有 VIB，指定日期、时间以及用于安装每个 VIB 的标志。该文件位于路径下/var/db/esximg/profile。图 1包含配置文件 XML 文件中记录的 攻击者标志使用情况的示例。--force

存在 --force 安装的 ESXI 配置文件 XML 文件
图 1：存在 --force 安装的 ESXI 配置文件 XML 文件
日志文件还记录使用情况。--force图 2 包含一个记录通过强制安装安装的恶意 VIB 的事件。

使用强制标志进行 VIB 安装
图 2使用强制标志进行 VIB 安装
此外，VMware 建议启用安全启动，这使得 ESXi 能够在初始系统启动期间使用加密方法验证软件、驱动程序和其他组件，从而确定这些组件是否合法。根据 VMware 的指南，“vSphere 中对受信任平台安全启动支持基于 ESXi 安全启动构建，使 vCenter Server 能够通过检查来自安全启动的数据以及系统配置来证明或验证环境状态”信息。vSphere 7 中引入的 vSphere Trust Authority 进一步将对用于 vSAN 和虚拟机加密的加密密钥的访问与持续主机证明联系起来。未通过 vSphere Trust Authority 认证的主机将被拒绝访问机密。