勒索软件利用隐秘SSH隧道攻击ESXi系统,实现C2通信
内容提要
网络安全研究表明,ESXi系统被勒索软件攻击者利用,作为隐蔽流量隧道连接命令与控制基础设施。攻击者通过SSH等工具建立持久性后门以逃避检测,建议监控特定日志文件以识别此类攻击。同时,朝鲜的Andariel组织利用RID劫持技术秘密提升账户权限,增强攻击隐蔽性。
关键要点
-
网络安全研究表明,ESXi系统被勒索软件攻击者利用,作为隐蔽流量隧道连接命令与控制基础设施。
-
攻击者通过SSH等工具建立持久性后门以逃避检测。
-
建议监控特定日志文件以识别此类攻击,包括/var/log/shell.log、/var/log/hostd.log、/var/log/auth.log和/var/log/vobd.log。
-
朝鲜的Andariel组织利用RID劫持技术秘密提升账户权限,增强攻击隐蔽性。
-
RID劫持需要攻击者已获得管理员或SYSTEM权限,才能修改Windows注册表。
-
攻击者使用PsExec和JuicyPotato等工具获得SYSTEM权限后,创建新账户并赋予管理员权限。
-
发现了一种基于硬件断点的方法可以绕过Windows事件追踪(ETW)检测,攻击者可以在用户态中挂钩函数并操纵遥测。
延伸问答
勒索软件如何利用ESXi系统进行攻击?
勒索软件攻击者利用ESXi系统作为隐蔽流量隧道,连接命令与控制基础设施,躲避检测。
攻击者使用哪些工具在ESXi系统上建立后门?
攻击者通过SSH等工具在ESXi系统上建立持久性后门,以逃避检测。
如何检测ESXi系统上的SSH隧道攻击?
建议监控以下日志文件:/var/log/shell.log、/var/log/hostd.log、/var/log/auth.log和/var/log/vobd.log。
Andariel组织是如何提升账户权限的?
Andariel组织利用RID劫持技术,秘密修改Windows注册表,为低权限账户分配管理员权限。
RID劫持技术需要什么条件才能执行?
执行RID劫持需要攻击者已获得管理员或SYSTEM权限,以修改账户的RID值。
攻击者如何绕过Windows事件追踪检测?
攻击者使用基于硬件断点的方法,利用NtContinue函数避免触发ETW日志记录。
