T1675: КОМАНДИ АДМІНІСТРУВАННЯ ESXI
Зловмисники зловживають службами адміністрування ESXi для виконання команд на гостьових віртуальних машинах (ВМ). Використовуючи VMware Tools Daemon (vmtoolsd), вони можуть дистанційно керувати операційною системою всередині ВМ прямо з гіпервізора. Це дозволяє запускати програми, зчитувати файли та отримувати дані з гостьових систем, навіть якщо вони ізольовані від зовнішньої мережі, але підключені до шини управління VMware.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати службами адміністрування ESXi для виконання команд на гостьових машинах, розміщених у віртуальному середовищі ESXi. Постійні фонові служби на ВМ, такі як VMware Tools Daemon Service, дозволяють здійснювати віддалене керування з боку сервера ESXi. Служба демона інструментів працює як vmtoolsd.exe у гостьових операційних системах Windows, vmware-tools-daemon у macOS та vmtoolsd у Linux.
Зловмисники можуть використовувати різноманітні інструменти для виконання команд на ВМ під управлінням ESXi — наприклад, за допомогою vSphere Web Services SDK для програмного виконання команд і сценаріїв через такі API, як:
- StartProgramInGuest: запуск програм у гостьовій системі.
- ListProcessesInGuest: перегляд активних процесів.
- ListFileInGuest: перегляд файлової системи.
- InitiateFileTransferFromGuest: ексфільтрація файлів із ВМ на гіпервізор.
Це може уможливити подальші дії на гостьових ВМ, такі як виявлення файлів і каталогів (File and Directory Discovery), збір даних із локальної системи (Data from Local System) або дамп облікових даних ОС (OS Credential Dumping).