Skip to main content
Enterprise Computing Solutions
Enterprise Computing Solutions
Arrow Electronics, Inc.
  1. Kezdőlap
  2. Resources: Hírek
  3. Cikk keresés
  4. Gyanús, ESXi-vel kapcsolatos tevékenységek észlelése még a ransomware támadás előtt
Copper_Heat_Sink_on_Motherboard_Closeup
Cikk

Gyanús, ESXi-vel kapcsolatos tevékenységek észlelése

szeptember 09, 2025

Hogyan észleljük az ESXi-vel kapcsolatos gyanús tevékenységeket

Gyanús, ESXi-vel kapcsolatos tevékenységek észlelése még a ransomware támadás előtt

A világszerte működő kiberbiztonsági csapatok évek óta küzdenek az ESXi infrastruktúrát célzó ransomware támadások ellen. Az ESXi egy bare-metal hipervisor réteg, amit a VMware fejlesztett ki, és amely lehetővé teszi több virtuális gép futtatását egyetlen fizikai szerveren. Az ESXi széles körben elterjedt nagyvállalati környezetben, gyakran olyan virtuális gépeket futtat, amelyek az egész szervezet számára elengedhetetlen szolgáltatásokat támogatnak. Az ESXi-hez való hozzáféréssel a támadók titkosíthatják a fájlrendszert, megbéníthatják a tárolt virtuális gépeket, kinyerhetik az érzékeny adatokat, és átvehetik az irányítást a teljes környezet felett.

Az ESXi, mint erőforrások központi helyszíne, nagyon népszerű célponttá vált a támadók számára. Egyetlen biztonsági rés is az egész környezet megrongálódásához vezethet. A másik aggodalomra okot adó tényező, hogy az ESXi általában nem megfelelően felügyelt, így a rendszereken zajló tevékenységekről legfeljebb szűkös információk állnak rendelkezésre. 2023-ban az MGM Resorts-nál egy támadó hozzáfért az ESXi infrastruktúrához, és néhány nap alatt több mint 100 hipervisor-t titkosított, ami 100 millió dolláros veszteséget okozott.

Bemutatjuk, hogyan lehet az ESXi naplókat a Splunk-ba importálni, milyen tevékenységekre kell figyelni, és átfogó észlelési stratégiákat ismertetünk.

ESXi alapú támadások megfigyelése a Splunk segítségével

Az adatok importálása

Az ESXi naplózása úgy konfigurálható, hogy a syslog adatokat egy külső logHost-ra küldje. Ebben az esetben ez a Splunk lesz. A Splunk különböző módszerekkel tudja befogadni a syslog adatokat, többek között a Splunk Connect for Syslog, egy dedikált syslog szerver, például a syslog-ng, vagy közvetlenül a Splunk Universal Forwarder segítségével.

Splunk Connect for Syslog

Ez az open source megoldás egyszerűsíti a syslog-adatok Splunk-ba való befogadását azáltal, hogy előre konfigurált keretrendszerrel ellátott, konténer alapú syslog-ng szervert biztosít. Megoldást kínál olyan gyakori kihívásokra, mint az inkonzisztens telepítések, a szakértelem hiánya és az egyenetlen adatelosztás. Docker, Podman vagy Kubernetes segítségével telepíthető. Ajánlott a syslog-adatok befogadásának egyszerűsítésére, különösen nagyméretű telepítések esetén.

Syslog szerver és Universal Forwarder

Konfiguráljon egy syslog szervert, például syslog-ng vagy rsyslog, hogy fogadja a syslog üzeneteket és file-okba írja őket. Ezután használjon egy Splunk Universal Forwarder-t, hogy figyelje ezeket a file-okat, és elküldje az adatokat a Splunk Indexer-nek. Ez a módszer nagyobb rugalmasságot biztosít az adatok tartalom alapján történő szűrésében és továbbításában. A file-okhoz létre kell hozni egy inputs.conf file-t, amelynek tartalma a következő:

...

[monitor:///var/log/.../syslog.log]
disabled = false
index = vmware-esxilog
sourcetype = vmw-syslog

...

Közvetlen import Splunk segítségével

Bár lehetséges a syslog adatok közvetlen bevitele a Splunk környezetbe (külön syslog szerver nélkül), általában nem ajánljuk, különösen nagyméretű telepítések esetén, vagy ha a magas rendelkezésre állás kritikus fontosságú, mert a Splunk leállása adatvesztéshez vezethet. Tesztelési célokra azonban ez a módszer olcsó megoldás a Splunk ESXi napló file-okhoz való kipróbálására.

Splunk Technology Add-on-ok

Két technology add-on-ra van szükség ahhoz, hogy az ESXi-adatok valóban működjenek a Splunk-ban:

- Splunk add-on for VMware ESXi Logs – A Splunk add-on kommentált bemeneteket, keresési / indexelési extractions-t tartalmaz a VMware ESXi naplók gyűjtéséhez, elemzéséhez és beviteléhez a Splunk környezetbe.
- Splunk add-on for VMware Indexes – Az ebben az add-on-ban található csomag („SA-VMWIndex”) tartalmazza a Splunk Add-on for VMware-t, a Splunk Add-on for vCenter Logs-t, és a Splunk Add-on for VMware ESXi Logs-t

ESXi konfigurálása

Miután kiválasztotta és konfigurálta a Splunk megoldást, be kell állítani az ESXi-t, hogy továbbítsa a syslog adatokat. Ez a rész meglehetősen egyszerű. Az ESXi GUI-m módosítható a naplózási beállításokat, a Manage > System > Advanced Settings menüpontban, és megkeresi a logHost elemet. Itt csak be kell állítania a napló file-ok elküldésének helyét proto://hostname:port formátumban.

ESXi napló file-ok értelmezése

Az ESXi rengeteg különböző napló file-al rendelkezik, amelyek a beállítások elvégzése után bekerülnek a Splunk-ba. A kívánt tevékenységek észleléséhez fontos tudni, hogy melyik napló file tartalmazza a szükséges adatokat. Az alábbi lista nem teljes, de jó kiindulási pontot nyújt.

Shell logs

Ezek a napló file-ok az ESXi rendszeren végrehajtott parancsokat tartalmazzák. Ide tartoznak a normál shell parancsok, mint például a cat, valamint az ESXi komponensekkel való interakcióra használt esxcli parancsok.

Hostd logs

Ezek a naplófile-ok rögzítik a host gép menedzsment tevékenységeit, beleértve a virtuális gépek életciklusának eseményeit, a felhasználói hitelesítést és a vSphere kliensek vagy API-k segítségével végzett módosításokat.

VMK Warning logs

A Vmkwarning a vmkernel szűrt nézete, amely a warning szintű eseményekre összpontosít. Ez egy gyors módszer a védelem számára a hibás konfigurációk vagy a hardverváltozások korai jeleinek észlelésére anélkül, hogy a részletesebb kernel napló file-okat elemeznénk.

ESXi Update logs

Ezek nyomon követik a javítások és a VIB (vSphere Installation Bundle) telepítéseket. A napló file figyelemmel kísérése segíthet a jogosulatlan VIB-ek felismerésében, amelyek backdoor-ok, perzisztens műveletek, vagy rosszindulatú driver-ek telepítésére használhatók.

ESXi-támadások észlelése

A Splunk Threat Research Team beszámolója

Annak érdekében, hogy a biztonsági csapatok tudjanak védekezni ezekkel a hacker kampányokkal szemben, átfogó észlelési keretrendszert fejlesztett ki a Splunk az ügyfelek számára. Megközelítésük az ESXi támadásokhoz kapcsolódó jellegzetes minták és viselkedésmódok azonosítására összpontosít. Összefoglaló beszámoló készült, hogy segítsék a szervezeteket ennek a tartalomnak a gyors bevezetésében. Íme néhány, a rosszindulatú ESXi-tevékenységekre összpontosító észlelés.

ESXi Recon

A támadók általában először felderítik a rendszert, hogy meghatározzák célpontjaikat. Összegyűjtik a rendszer információkat, a virtuális gépek adatait, a account adatokat, és még az érzékeny file-okat is átkutatják, hogy felhasználható adatokat találjanak.

ESXi Suspicious Account Activity

Az ESXi környezetek figyelemmel kísérése esetleges gyanús fiók aktivitások után kutatva kritikus fontosságú, mivel a támadók gyakran a privilegizált hozzáférést céloznak meg, hogy ellenőrzést szerezzenek és elkerüljék a felderítést. Az ESXi felhasználói felületéhez való közvetlen root hozzáférés megkerüli a rolea alapú hozzáférés ellenőrzést, lehetővé téve a lopott vagy megosztott hitelesítő adatokkal rendelkező rosszindulatú szereplők számára, hogy észrevétlenül működjenek és potenciálisan megváltoztassák a rendszer konfigurációkat. Hasonlóképpen, az adminisztrátori szerepkör váratlan hozzárendelése egy felhasználóhoz backdoor-t biztosít az ellenségeknek a magasabb jogososultághoz.

Szoftver telepítésési kísérletek az ESXi-n

Az ESXi host gépek figyelemmel kísérése a szoftver telepítésével kapcsolatos gyanús tevékenységek tekintetében rendkívül fontos, mivel a támadók gyakran ezeket a mechanizmusokat célozzák meg a rendszerek megfertőzésére. A VIB (vSphere Installation Bundle) elfogadás szintjének megváltoztatása csökkenti a rendszer integritását, és lehetővé teszi aláírás nélküli, vagy nem ellenőrzött szoftverek telepítését. A támadók a VIB telepítések során gyakran használják a --force jelzőt is, hogy megkerüljék az aláírási és kompatibilitási ellenőrzéseket, lehetővé téve potenciálisan rosszindulatú, backdoor-al rendelkező, vagy nem kompatibilis kernel modulok és eszközök telepítését. A sikertelen file letöltési kísérletek feltárthatják a komponensek telepítésére, vagy frissítésére irányuló jogosulatlan vagy rosszindulatú kísérleteket. Ez a tevékenység gyakran jelzi a kompromittálódás utáni viselkedést, amikor a támadók megpróbálják megerősíteni pozíciójukat, vagy fokozni az ellenőrzését a hipervisor réteg felett.

ESXi Access changes

A támadók gyakran manipulálják az ESXi host gép konfigurációit, hogy gyengítsék a biztonsági ellenőrzéseket és tartós hozzáférést szerezzenek. Engedélyezhetik az SSH vagy az ESXi Shell távoli hozzáférési szolgáltatásokat, hogy megvethessék a lábukat, vagy fenntartsák az ellenőrzést az első támadás után. Ezenkívül, a támadók gyakran letiltják a kritikus biztonsági funkciókat, például a lockdown módot vagy a tűzfal modult, hogy bővítsék a hozzáférést, megkerüljék a hálózati korlátozásokat, és megkönnyítsék a további rosszindulatú tevékenységeket, például az adatok kiszivárogtatását, a lateral movement-et, vagy a káros szoftverek telepítését.

ESXi VM tevékenység

A támadók gyakran az ESXi host gépeket veszik célba, hogy megzavarják a működést és érzékeny adatokat szivárogtassanak ki. Megkísérelhetik letiltani a kritikus biztonsági beállításokat, például a biztonságos indításhoz vagy a végrehajtható file-ok ellenőrzéséhez kapcsolódókat, hogy gyengítsék a hipervisor védelmét, és így könnyebben hozzáférjenek a host gépekhez. A pusztítóbb támadások során hirtelen leállíthatják a host gépen található összes virtuális gépet, ami szándékos szolgáltatásmegtagadási támadást vagy a kritikus munkaterhelések megsemmisítésére irányuló kísérletet jelezhet. A támadók gyakran legitim távoli eszközöket és protokollokat használnak a virtuális gépek teljes disk file-ok letöltésére a storage-okból, ami lehetővé teszi hatalmas mennyiségű érzékeny adat kiszivárogtatását.

ESXi Indicator removal

A root jogosultságokkal rendelkező támadók általában megpróbálják eltüntetni a nyomokat, miután hozzáférést szereztek a rendszerhez. Az ESXi esetében ez az auditrecords paranccsal történő auditálás letiltásával, a syslog konfigurációk megváltoztatásával, vagy a rendszeróra módosításával történhet, hogy elkerüljék az időzítésen alapuló észleléseket.

További információk

A biztonsági elemzésekkel kapcsolatos legfrissebb tartalmakat a research.splunk.com oldalon és a Splunk ES Content Update alkalmazásban találja.

A Splunk Threat Research Team elemzése és az ESXi Post Compromise blog átfogó felderítési lefedettséget biztosít ehhez a tevékenységhez és a támadási mintákhoz.

 

A teljes cikk elérhető az alábbi linken:

https://www.splunk.com/en_us/blog/security/detecting-esxi-ransomware-activity-splunk.html