Guía de los Hackers para Desplegar VMs Maliciosas: Lecciones del Ataque a MITRE

En el panorama de la ciberseguridad en rápida evolución, los ataques sofisticados continúan desafiando incluso a las organizaciones más preparadas. Una reciente intrusión cibernética dirigida al entorno de pruebas, investigación y experimentación en red de MITRE ha sacado a la luz las vulnerabilidades dentro de las infraestructuras virtualizadas, particularmente aquellas que utilizan VMware . Este artículo proporciona un análisis en profundidad del ataque, las metodologías empleadas por los atacantes y las implicaciones más amplias para las prácticas de ciberseguridad.

EL ATAQUE: UN EXAMEN DETALLADO

La intrusión cibernética en el entorno de MITRE fue una operación meticulosamente planificada y ejecutada, que destacó las capacidades técnicas avanzadas de los atacantes y su comprensión de los entornos virtualizados. Los atacantes explotaron vulnerabilidades específicas en Ivanti Connect Secure (ICS), identificadas como CVE-2023-46805 y CVE-2024-21887. Estas vulnerabilidades permitieron el acceso no autorizado a la infraestructura de VMware, proporcionando a los atacantes un punto de apoyo dentro de la red.

Penetración y explotación inicial : los atacantes comenzaron identificando y explotando las debilidades en la infraestructura de Ivanti Connect Secure (ICS). Las vulnerabilidades en cuestión eran exploits de día cero, lo que significa que el proveedor las desconocía y no tenían parches ni mitigaciones existentes en el momento del ataque. Al explotar estas vulnerabilidades, los atacantes podrían eludir los mecanismos de autenticación y obtener acceso administrativo al entorno virtualizado.

Implementación de máquinas virtuales (VM) no autorizadas : una vez dentro de la red, los atacantes crearon e implementaron máquinas virtuales no autorizadas. Estas máquinas virtuales fueron diseñadas para imitar máquinas virtuales legítimas, permitiéndoles integrarse en la infraestructura existente y evadir la detección. La implementación de máquinas virtuales no autorizadas sirvió para múltiples propósitos:

  • Persistencia : las máquinas virtuales no autorizadas proporcionaban una presencia estable y resistente dentro de la red, lo que garantizaba que los atacantes pudieran mantener el acceso durante un período prolongado.
  • Evasión : al operar dentro del entorno virtualizado, las máquinas virtuales maliciosas podrían eludir las medidas de seguridad tradicionales que se centran en amenazas físicas o basadas en la red.
  • Expansión : Las máquinas virtuales maliciosas actuaron como base para otras actividades maliciosas, incluida la filtración de datos, el movimiento lateral dentro de la red y la implementación de malware adicional.

Operaciones de comando y control (C2) : los atacantes establecieron canales C2 sólidos para mantener el control sobre las máquinas virtuales no autorizadas. Estos canales permitieron a los atacantes emitir comandos, recibir datos y monitorear el estado de sus operaciones maliciosas. La infraestructura C2 fue diseñada para ser resistente y utiliza técnicas como cifrado y redundancia para evitar la detección y las interrupciones.

ANÁLISIS TÉCNICO PROFUNDO: COMPRENSIÓN DEL ATAQUE

Para apreciar plenamente la sofisticación del ataque, es fundamental profundizar en los aspectos técnicos de las metodologías empleadas por los atacantes.

  1. Explotación de vulnerabilidades :
    • Las vulnerabilidades explotadas, CVE-2023-46805 y CVE-2024-21887, eran fallas críticas dentro del software Ivanti Connect Secure (ICS). Estas fallas permitieron a los atacantes ejecutar código arbitrario y obtener privilegios administrativos dentro del entorno virtualizado.
    • Los atacantes utilizaron una combinación de ingeniería social, phishing y técnicas avanzadas de escaneo para identificar sistemas vulnerables. Una vez identificados, implementaron scripts de explotación personalizados para obtener acceso.
  2. Implementación de máquinas virtuales no autorizadas :
    • El proceso de implementación implicó la creación de máquinas virtuales que eran prácticamente idénticas a las legítimas, lo que dificultaba la detección. Los atacantes aprovecharon las plantillas de VM existentes y las modificaron para incluir sus cargas maliciosas.
    • Estas máquinas virtuales no autorizadas se configuraron para funcionar con un uso mínimo de recursos, lo que redujo aún más la probabilidad de detección mediante la supervisión del rendimiento.
    • Las máquinas virtuales no autorizadas se crean y administran a través de cuentas de servicio directamente en el hipervisor, en lugar de a través de la consola administrativa de vCenter. Como resultado, estas máquinas virtuales no aparecen en el inventario.
    • El adversario creó sus propias máquinas virtuales no autorizadas dentro del entorno VMware, aprovechando el acceso comprometido a vCenter Server. Escribieron e implementaron un shell web JSP (BEEFLUSH) en el servidor Tomcat de vCenter Server para ejecutar una herramienta de tunelización basada en Python, facilitando conexiones SSH entre máquinas virtuales creadas por el adversario y la infraestructura del hipervisor ESXi.
    • Al implementar máquinas virtuales no autorizadas, los adversarios pueden evadir la detección ocultando sus actividades en interfaces de administración centralizadas como vCenter. Esto les permite mantener el control sobre los sistemas comprometidos y al mismo tiempo minimizar el riesgo de descubrimiento.
  3. Mecanismos de persistencia :
    • Para garantizar la persistencia, los atacantes implementaron varias técnicas dentro de las máquinas virtuales no autorizadas. Estos incluían la instalación de rootkits y otro malware de bajo nivel que podría sobrevivir a reinicios y actualizaciones.
    • Los atacantes también manipularon las herramientas de administración de máquinas virtuales para ocultar a los administradores la presencia de máquinas virtuales no autorizadas.
  4. Tácticas de evasión :
    • Los atacantes emplearon varias tácticas de evasión para evitar ser detectados por las herramientas de seguridad. Estas incluían el uso de canales de comunicación cifrados, la ocultación de códigos maliciosos y el aprovechamiento de herramientas administrativas legítimas para llevar a cabo sus actividades.
    • También rotaban con frecuencia sus servidores de comando y control para evitar ser incluidos en la lista negra o cerrados.

IMPLICACIONES PARA LA CIBERSEGURIDAD

La ciberintrusión de MITRE sirve como un claro recordatorio de las tácticas en evolución utilizadas por los ciberdelincuentes y las vulnerabilidades inherentes a los entornos virtualizados. Este incidente destaca varias áreas críticas para mejorar las prácticas de ciberseguridad:

Gestión de vulnerabilidades mejorada : las organizaciones deben adoptar prácticas rigurosas de gestión de vulnerabilidades para identificar y remediar las vulnerabilidades rápidamente. Esto incluye aplicar parches periódicamente, realizar evaluaciones de vulnerabilidad y mantenerse informado sobre las amenazas emergentes.

Mecanismos de detección avanzados : las medidas de seguridad tradicionales suelen ser inadecuadas en entornos virtualizados. Las organizaciones necesitan implementar mecanismos de detección avanzados que puedan identificar actividades anómalas dentro de infraestructuras virtualizadas. Esto incluye monitoreo basado en el comportamiento, detección de anomalías y algoritmos de aprendizaje automático para identificar actividades sospechosas.

Formación Integral en Seguridad : Los factores humanos siguen siendo una vulnerabilidad importante en la ciberseguridad. Los programas integrales de capacitación para los empleados pueden ayudar a reducir el riesgo de ataques de ingeniería social y phishing, que a menudo son los vectores iniciales de las intrusiones.

Planes sólidos de respuesta a incidentes : tener un plan de respuesta a incidentes bien definido es crucial para mitigar el impacto de las intrusiones cibernéticas. Este plan debe incluir procedimientos para identificar, contener y erradicar amenazas, así como estrategias de recuperación para restaurar las operaciones normales.

DETECCIÓN DE ACTIVIDAD ADVERSARIA EN EL ECOSISTEMA VMWARE

En el entorno de VMware, detectar la actividad del adversario exige un escrutinio meticuloso. Por ejemplo, los adversarios podrían habilitar SSH en hipervisores e iniciar sesión enrutando el tráfico a través de vCenter Server. Esta técnica subraya la importancia de monitorear la actividad SSH en busca de signos de acceso no autorizado.

QUÉ BUSCAR:
  1. Habilitación anómala de SSH : esté atento a apariciones inesperadas de mensajes de “inicio de sesión SSH habilitado”. Cualquier activación de SSH fuera del ciclo administrativo normal podría indicar actividad maliciosa.
  2. Sesiones SSH inusuales : supervise las desviaciones del patrón esperado de sesiones SSH que se abren. Esté atento a los casos en los que los mensajes “Se abrió una sesión SSH” aparecen inesperadamente o en momentos inusuales.

TÉCNICAS ATT&CK NOTABLES: IMPLEMENTACIÓN DE MÁQUINAS VIRTUALES NO AUTORIZADAS

Avanzando hasta el 7 de enero de 2024, el adversario accedió a las máquinas virtuales e implementó cargas útiles maliciosas, la puerta trasera BRICKSTORM y el shell web BEEFLUSH. El adversario también utilizó una cuenta predeterminada de VMware, VPXUSER, para realizar siete llamadas API que enumeraban una lista de unidades montadas y desmontadas.

El adversario evitó los mecanismos de detección al implementar máquinas virtuales no autorizadas, como VPXUSER, directamente en hipervisores que usaban SFTP para escribir archivos y luego los ejecutaba con /bin/vmx. Al hacer esto, estas máquinas virtuales no autorizadas no eran detectables a través de vCenter, la interfaz web de ESXi e incluso algunas utilidades de línea de comandos en el hipervisor que consultan la API.

Estas máquinas virtuales maliciosas contenían la puerta trasera y los mecanismos de persistencia de BRICKSTORM, configuradas con interfaces de red duales para la comunicación tanto con Internet/C2 como con las subredes administrativas centrales dentro de la red de creación de prototipos.

APROVECHANDO LA CUENTA VPXUSER

Los adversarios a menudo pueden aprovechar la cuenta VPXUSER para realizar diversas tareas administrativas, como enumerar máquinas virtuales, acceder a los ajustes de configuración e interactuar con la infraestructura del hipervisor subyacente. Además, los adversarios pueden implementar máquinas virtuales no autorizadas directamente en los hipervisores para evadir los mecanismos de detección y mantener la persistencia dentro del entorno. Las máquinas virtuales no autorizadas, que se crean y operan sin la autorización y administración adecuadas por parte del hipervisor, brindan a los adversarios un punto de apoyo sigiloso para realizar actividades maliciosas. Estas máquinas virtuales pueden eludir los controles de visibilidad dentro de las interfaces de administración de VMware, lo que dificulta su detección y mitigación.

DETECCIÓN DE MÁQUINAS VIRTUALES NO AUTORIZADAS

La protección contra máquinas virtuales no autorizadas y cualquier persistencia resultante exige un enfoque vigilante. El simple hecho de utilizar la interfaz de administración del hipervisor para administrar las máquinas virtuales suele ser insuficiente y puede resultar inútil cuando se trata de máquinas virtuales no autorizadas. Esto se debe a que las máquinas virtuales no autorizadas operan fuera de los procesos de administración estándar y no cumplen con las políticas de seguridad establecidas, lo que las hace difíciles de detectar y administrar únicamente a través de la GUI. En cambio, se necesitan herramientas o técnicas especiales para identificar y mitigar eficazmente los riesgos asociados con las máquinas virtuales no autorizadas.

QUÉ BUSCAR:
  1. Uso de la línea de comandos : utilice los siguientes comandos en un hipervisor ESXi para identificar máquinas virtuales no registradas:
    • vim-cmd vmsvc/getallvms
    • esxcli vm process list | grep Display
  2. Comparación de listas de VM : compare la salida de vim-cmd (verificación de VM basada en API) con la lista de VM en ejecución obtenida de esxcli. Las diferencias en la lista de VM entre la salida de un vim-cmd (que buscará VM a través de la API) y la lista de VM en ejecución que ve esxcli (que consulta directamente al hipervisor del host) indican un problema potencial. Una máquina virtual que se ejecuta en un hipervisor que no se ve a través de los datos de la máquina virtual registrada a través de API justifica una mayor investigación como posible máquina virtual no registrada o no autorizada.

DETECCIÓN DE PERSISTENCIA DE VMWARE

Para abordar la persistencia de estas máquinas virtuales no autorizadas, es fundamental examinar los scripts de inicio del hipervisor.

QUÉ BUSCAR:
  1. Mecanismo de persistencia : Supervise la modificación del /etc/rc.local.d/local.sharchivo legítimo para incluir la siguiente línea:
    • /bin/vmx -x /vmfs/volumes/<REDACTED_VOLUME>/<REDACTED_VM_NAME>/<REDACTED_VM_NAME>.vmx 2>/dev/null 0>/dev/null &
  2. Identificación de persistencia : busque invocaciones del binario /bin/vmx dentro /etc/rc.local.d/o más específicamente revisando manualmente el script de inicio local.sh con los siguientes comandos:
    • grep -r \/bin\/vmx /etc/rc.local.d/
    • cat /etc/rc.local.d/local.sh

La infiltración de la red de MITRE a través de vulnerabilidades de VMware subraya la necesidad de una mayor vigilancia y medidas de seguridad avanzadas en entornos virtualizados. A medida que los atacantes continúan perfeccionando sus técnicas, las organizaciones deben desarrollar sus defensas para protegerse contra estas amenazas sofisticadas. Al adoptar prácticas de seguridad integrales, mantenerse informadas sobre las vulnerabilidades emergentes y fomentar una cultura de concientización sobre la ciberseguridad, las organizaciones pueden defenderse mejor contra futuras intrusiones.