ESXi勒索软件攻击利用SSH隧道逃避检测
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
网络安全公司Sygnia警告,ESXi勒索软件攻击者利用SSH隧道技术,针对虚拟化环境进行攻击,逃避检测。攻击者通过未监控的ESXi设备获取访问权限,并创建SOCKS隧道与C2服务器通信。由于ESXi设备的日志管理复杂,建议配置syslog转发以集中监控活动。
🎯
关键要点
-
网络安全公司Sygnia警告ESXi勒索软件攻击者利用SSH隧道技术进行攻击。
-
攻击者通过未监控的ESXi设备获取访问权限,并创建SOCKS隧道与C2服务器通信。
-
攻击者使用管理凭据或已知漏洞绕过身份验证入侵ESXi设备。
-
ESXi设备的日志管理复杂,增加了取证调查和监控活动的难度。
-
建议配置syslog转发以集中监控ESXi服务器的活动。
-
报告列出了关键日志文件,包括vobd.log、shell.log、hostd.log和auth.log,帮助检测SSH隧道攻击。
➡️
