Um possível novo ator de ameaças empacotou e implantou backdoors, como vSphere Installation Bundles, ganhando capacidades de execução de código remoto e persistência.
Por Lucian Constantin
Um grupo de investigadores identificou uma nova família de malware que foi concebida para criar backdoors e persistir nos servidores VMware ESXi, explorando funcionalidades legítimas suportadas pelo software hypervisor. Segundo os investigadores da Mandiant que encontraram e analisaram os backdoors, estes foram embalados e colocados em servidores infetados como vSphere Installation Bundles (VIBs). Os VIBs são pacotes de software utilizados para distribuir componentes que ampliam a funcionalidade do VMware ESXi. Os VIB maliciosos forneceram aos hackers capacidades de execução de comandos remotos e de persistência nos servidores e a capacidade de executar comandos em máquinas virtuais convidadas a correr nos servidores.
Deteção de dificuldade
Por defeito, o VMware ESXi está configurado para aceitar apenas a instalação de VIBs que são VMWareCertified, VmwareAccepted ou PartnerSupported. A estes níveis de aceitação, os pacotes devem ser assinados digitalmente pela VMware ou por um parceiro cuja assinatura a VMware confia. No entanto, existe um quarto nível de aceitação chamado CommunitySupported onde as VIBs não precisam de ser assinadas digitalmente. O inconveniente é que estes pacotes devem ser implantados por um administrador utilizando intencionalmente o indicador -force no comando de instalação através da ferramenta de linha de comando esxcli.
Os VIB maliciosos encontrados pela Mandiant tiveram o seu ficheiro manifesto modificado para indicar “parceiro” como o nível de aceitação, mas na realidade não tinham assinatura digital e tinham sido implantados utilizando o comando -force. Isto significa que os atacantes já tinham acesso a nível administrativo aos servidores antes de os instalar, pelo que se tratava de uma carga útil de última hora.
Um dos efeitos da inclusão de “parceiro” como fonte no manifesto das VIBs falsas foi que elas foram listadas como PartnerSupported ao usar o comando “esxcli software vib list” quando não o foram. Este lapso no comando, que simplesmente mostra o que o manifesto diz, ajudou os atacantes a melhor esconderem os seus fundos dos administradores. Para os descobrir, os administradores teriam de utilizar o comando “esxcli software vib signature verify” que teria verificado a assinatura digital de todas as VIBs implantadas nos seus servidores.
Hipervisor e máquina virtual
Para além de um ficheiro manifesto e um ficheiro de assinatura, as VIB incluem uma coleção de ficheiros e diretórios a copiar para o sistema. Um destes ficheiros era um backdoor passivo que usava nomes de serviços VMware para se esconder e ouvia o tráfego num número de porta encriptado no servidor ESXi. O backdoor, que se chamava VIRTUALPITA, podia executar comandos arbitrários, carregar e descarregar ficheiros, e iniciar e parar o vmsyslogd, o serviço ESXi responsável pelo registo de mensagens do kernel do sistema e outros componentes. “Durante a execução arbitrária do comando, o malware também define a variável ambiental HISTFILE como 0 para ocultar ainda mais a atividade que ocorreu na máquina”, disseram os investigadores da Mandiant. “Foram encontradas variantes deste malware para ouvir através de uma interface de comunicação de máquina virtual (VMCI) e gravar esta atividade no ficheiro sysclog”. O VMware VMCI é a interface de comunicação de alta velocidade através da qual as máquinas virtuais comunicam com o kernel do anfitrião.
Dois exemplos de VIRTUALPITA encontrados em sistemas vCenter Linux colocados como serviços de arranque no init.d – um mecanismo de arranque Linux – e o seu nome de ficheiro foi disfarçado de ksmd (Kernel Same-Page Merging Daemon), um serviço de kernel padrão, nos diretórios /usr/libexec/setconf/ e /usr/bin. Os investigadores também encontraram um backdoor secundário nas VIBs maliciosas a que deram o nome de VIRTUALPIE. Este programa de backdoor foi escrito em Python e ouvido para tráfego IPv6 na porta 546. Os atacantes podiam usar esta backdoor para executar comandos arbitrários, transferir ficheiros e abrir uma shell inversa. As comunicações sobre a porta foram feitas através de um protocolo personalizado utilizando a encriptação RC4.
Finalmente, alguns ataques incluíram um terceiro backdoor chamado VIRTUALGATE que foi escrito para Windows e implantado em máquinas virtuais convidadas a funcionar em servidores ESXi comprometidos. Esta porta traseira permite aos atacantes executar comandos na máquina virtual hóspede a partir do hipervisor ou entre diferentes máquinas virtuais hóspede a funcionar no mesmo anfitrião através do VMCI.
Os investigadores observaram que os atacantes utilizaram VIRTUALPITA para executar um script de shell que lançou um script Python que depois executou comandos nas máquinas virtuais convidadas. Nas máquinas virtuais, os comandos foram executados pelo serviço legítimo VMware Tools (vmtoolsd.exe). Num caso, os comandos consistiam em listar ficheiros em certos directórios e embalá-los como ficheiros CAB, e noutro caso os atacantes utilizavam o utilitário MiniDump para descarregar a memória de um processo e pesquisá-lo por credenciais em texto simples.
A Mandiant não associou estes ataques a nenhum grupo conhecido, pelo que os segue sob um novo identificador de grupo chamado UNC3886. “Dada a natureza altamente direcionada e evasiva desta intrusão, suspeitamos que a motivação do UNC3886 está relacionada com a ciberespionagem”, disseram os investigadores. “Além disso, avaliamos com pouca confiança que a UNC3886 tenha um nexo com a China”. Embora ainda não tenha havido muitos incidentes em que o malware VIB tenha sido utilizado para comprometer os servidores ESXi, a Mandiant espera que outros grupos de ameaça copiem esta técnica no futuro.
A VMware recomenda a ativação do UEFI Secure Boot
A VMware emitiu um parecer em resposta às descobertas da Mandiant, bem como um script PowerShell que pode ser utilizado para procurar VIBs maliciosos no ambiente. No entanto, a principal recomendação é permitir a UEFI Secure Boot no sistema, que fornece atestado criptográfico dos componentes no início do processo de arranque. “Quando o Secure Boot está ativado, bloqueia a utilização do nível de aceitação ‘CommunitySupported’, impedindo os atacantes de instalar VIBs não assinados ou assinados incorretamente (mesmo com o parâmetro -force como indicado no relatório)”, declara a VMware na sua orientação. “O vSphere 8 vai mais longe e impede a execução de binários não assinados, ou binários instalados através de outros meios que não um VIB devidamente assinado. Os esforços para desativar essa característica por atacantes geram alarmes ESXi imperdíveis como indicações de que algo está a acontecer num ambiente”.