Los investigadores de ciberseguridad han encontrado que los ataques de ransomware se dirigen a Sistemas ESXI También están aprovechando el acceso al reutilización de los electrodomésticos como un conducto para el tráfico de túnel a la infraestructura de comando y control (C2) y permanecer bajo el radar.
“Los electrodomésticos ESXI, que no son superiturados, son cada vez más explotados como un mecanismo de persistencia y una puerta de entrada para acceder a las redes corporativas ampliamente”, los investigadores de Sygnia Zhongyuan Hau (Aaron) y Ren Jie Yoww dicho en un informe publicado la semana pasada.
“Los actores de amenaza usan estas plataformas adoptando técnicas de ‘vida-off-the-land’ y utilizando herramientas nativas como SSH para establecer un túnel de calcetines entre sus servidores C2 y el entorno comprometido”.
Al hacerlo, la idea es mezclar con el tráfico legítimo y establecer la persistencia a largo plazo en la red comprometida con poca o no detección por los controles de seguridad.
La compañía de ciberseguridad dijo que en muchos de sus compromisos de respuesta a incidentes, los sistemas ESXi se vieron comprometidos mediante el uso de credenciales de administración o aprovechando una vulnerabilidad de seguridad conocida para superar las protecciones de autenticación. Posteriormente, se ha encontrado que los actores de la amenaza configuran un túnel utilizando SSH u otras herramientas con funcionalidad equivalente.
“Dado que los electrodomésticos ESXI son resistentes y rara vez cierran inesperadamente, este túnel sirve como una puerta trasera semi-persistente dentro de la red”, señalaron los investigadores.
Sygnia también ha destacado los desafíos en el monitoreo de registros de ESXi, enfatizando la necesidad de configurar el reenvío de registro para capturar todos los eventos relevantes en un lugar para investigaciones forenses.
Para detectar ataques que implican el uso de túneles SSH en electrodomésticos ESXI, se ha recomendado que las organizaciones revisen los siguientes cuatro archivos de registro –
- /var/log/shell.log (registro de actividad de shell ESXI)
- /var/log/hostd.log (registro de agentes host)
- /var/log/auth.log (registro de autenticación)
- /var/log/vobd.log (VMware Observer Daemon Log)
Andariel emplea el secuestro de Rid
El desarrollo se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) detalló un ataque montado por el grupo Anderiel vinculado a Corea del Norte que implica el uso de una técnica conocida como identificador relativo (DESHACERSE) secuestro para modificar encubierte el registro de Windows para asignar un invitado o permisos administrativos de cuenta de baja privilegia durante el siguiente inicio de sesión.
El persistencia método es astuto, ya que aprovecha el hecho de que las cuentas regulares no están sujetas al mismo nivel de vigilancia que la cuenta del administrador, lo que permite a los actores de amenaza realizar acciones maliciosas mientras permanecen sin detectar.
Sin embargo, para realizar el secuestro de RID, el adversario ya debe haber comprometido una máquina y haber obtenido privilegios administrativos o del sistema, ya que requiere cambiar el valor RID de la cuenta estándar a la de la cuenta del administrador (500).
En la cadena de ataque documentada por ASEC, se dice que el actor de amenaza creó una nueva cuenta y asignó privilegios de administrador de TI utilizando este enfoque, después de obtener privilegios del sistema utilizando herramientas de escalada de privilegios como PSEXEC y JuicyPotato.
“El actor de amenaza luego agregó la cuenta creada al grupo de usuarios de escritorio remoto y al grupo de administradores utilizando el comando ‘NET LOCALGROUP'”, la compañía dicho. “Cuando se agrega una cuenta al grupo de usuarios de escritorio remoto, se puede acceder a la cuenta utilizando RDP”.
“Una vez que se ha cambiado el valor de RID, el sistema operativo Windows reconoce la cuenta creada por el actor de amenaza que tiene los mismos privilegios que la cuenta de destino, lo que permite la escalada de privilegios”.
Nueva técnica para la evasión de EDR
En noticias relacionadas, también se ha descubierto que un enfoque basado en los puntos de interrupción de hardware podría aprovecharse para evitar el rastreo de eventos para Windows (ETW) Detecciones, que proporciona un mecanismo para registrar eventos planteados por aplicaciones en modo de usuario y controladores de modo de kernel.
Esto implica usar una función de Windows nativa llamada Ntcontinueen lugar de setThreadContext, para establecer registros de depuración y evitar activar el registro de ETW y los eventos analizados por EDRS para marcar la actividad sospechosa, por lo que se basa en la telemetría que se basa en SetThreadContext.
“Al aprovechar los puntos de interrupción de hardware a nivel de la CPU, los atacantes pueden enganchar las funciones y manipular la telemetría en la tierra del usuario sin parches de núcleo directo, desafiando las defensas tradicionales”, el investigador pretoriano Rad Kawar dicho.
“Esto es importante porque destaca una técnica que los adversarios pueden usar para evadir y mantener sigiloso mientras implementan ganchos” sin parches “que evitan el escaneo de AMSI y evitan el registro de ETW”.
About the Author
