
Peneliti cybersecurity telah menemukan bahwa serangan ransomware yang menargetkan sistem ESXI juga memanfaatkan akses untuk menggunakan kembali peralatan sebagai saluran untuk lalu lintas terowongan ke infrastruktur komando dan kontrol (C2) dan tetap di bawah radar.
“Peralatan ESXI, yang tidak dipantau, semakin dieksploitasi sebagai mekanisme kegigihan dan pintu gerbang untuk mengakses jaringan perusahaan secara luas,” kata peneliti Sygnia Zhongyuan Hau (Aaron) dan Ren Jie Yow dalam sebuah laporan yang diterbitkan pekan lalu.
“Aktor ancaman menggunakan platform ini dengan mengadopsi teknik 'living-off-the-land' dan menggunakan alat asli seperti SSH untuk membuat terowongan kaus kaki antara server C2 mereka dan lingkungan yang dikompromikan.”
Dengan melakukan hal itu, idenya adalah untuk berbaur dengan lalu lintas yang sah dan membangun kegigihan jangka panjang pada jaringan yang dikompromikan dengan deteksi yang tidak banyak tidak ada oleh kontrol keamanan.

Perusahaan cybersecurity mengatakan dalam banyak keterlibatan respons insiden, sistem ESXI dikompromikan baik dengan menggunakan kredensial admin atau memanfaatkan kerentanan keamanan yang diketahui untuk mengatasi perlindungan otentikasi. Selanjutnya, para aktor ancaman telah ditemukan untuk mengatur terowongan menggunakan SSH atau alat lain dengan fungsi yang setara.
“Karena peralatan ESXI tangguh dan jarang ditutup secara tak terduga, terowongan ini berfungsi sebagai pintu belakang semi-persisten dalam jaringan,” kata para peneliti.

Sygnia juga telah menyoroti tantangan dalam memantau log ESXI, menekankan perlunya mengkonfigurasi penerusan log untuk menangkap semua peristiwa yang relevan di satu tempat untuk penyelidikan forensik.
Untuk mendeteksi serangan yang melibatkan penggunaan tunneling SSH pada peralatan ESXI, organisasi telah direkomendasikan untuk meninjau empat file log di bawah ini –
- /var/log/shell.log (log aktivitas shell ESXI)
- /var/log/hostd.log (log agen host)
- /var/log/auth.log (log otentikasi)
- /var/log/vobd.log (Log Daemon VMware Observer)
Andariel mempekerjakan pembajakan yang dihimpun
Perkembangan ini terjadi ketika Ahnlab Security Intelligence Center (ASEC) merinci serangan yang dipasang oleh kelompok Andariel yang terhubung dengan Korea Utara yang melibatkan penggunaan teknik yang dikenal sebagai Relative Identifier (RID) yang membajak untuk secara diam-diam memodifikasi Registry Windows untuk menugaskan tamu atau tamu atau Izin administrasi akun beruntung rendah selama login berikutnya.
Metode kegigihan licik karena memanfaatkan fakta bahwa akun reguler tidak mengalami tingkat pengawasan yang sama dengan akun administrator, sehingga memungkinkan aktor ancaman untuk melakukan tindakan jahat sambil tetap tidak terdeteksi.
Namun, untuk melakukan pembajakan RID, musuh harus telah mengkompromikan mesin dan mendapatkan hak administrasi atau sistem, karena memerlukan mengubah nilai RID dari akun standar menjadi akun administrator (500).

Dalam rantai serangan yang didokumentasikan oleh ASEC, aktor ancaman dikatakan telah membuat akun baru dan menugaskan hak administrator TI menggunakan pendekatan ini, setelah mendapatkan hak istimewa sistem sendiri menggunakan alat eskalasi hak istimewa seperti psexec dan juicypotato.
“Aktor ancaman kemudian menambahkan akun yang dibuat ke grup pengguna dan grup administrator jarak jauh menggunakan perintah 'net localgroup',” kata perusahaan itu. “Ketika akun ditambahkan ke grup Pengguna Desktop Jarak Jauh, akun dapat diakses dengan menggunakan RDP.”

“Setelah nilai RID telah diubah, OS Windows mengenali akun yang dibuat oleh aktor ancaman memiliki hak istimewa yang sama dengan akun target, memungkinkan eskalasi hak istimewa.”
Teknik baru untuk penghindaran EDR
Dalam berita terkait, juga telah ditemukan bahwa pendekatan yang didasarkan pada breakpoint perangkat keras dapat dimanfaatkan untuk mem-bypass event penelusuran untuk deteksi Windows (ETW), yang menyediakan mekanisme untuk mencatat acara yang diangkat oleh aplikasi mode pengguna dan driver mode kernel.
Ini mensyaratkan menggunakan fungsi Windows asli yang disebut ntcontinue, alih -alih setThreadContext, untuk menetapkan register debug dan menghindari memicu pencatatan ETW dan peristiwa yang diuraikan oleh EDR untuk menandai aktivitas mencurigakan, sehingga menyisihkan telemetri yang bergantung pada setThreadContext.
“Dengan memanfaatkan breakpoint perangkat keras di tingkat CPU, penyerang dapat mengaitkan fungsi dan memanipulasi telemetri di Userland tanpa penambalan kernel langsung – menantang pertahanan tradisional,” kata peneliti Praetorian Rad Kawar.
“Ini penting karena menyoroti suatu teknik yang dapat digunakan musuh untuk menghindari dan mempertahankan siluman sambil menerapkan kait” tanpa patch “yang mencegah pemindaian AMSI dan menghindari pencatatan ETW.”