MITRE: aanvaller creëerde rogue virtual machines om onopgemerkt te blijven
De aanvallers die wisten in te breken op systemen van MITRE creëerden rogue virtual machines om onopgemerkt te blijven, zo laat de organisatie in een analyse van de aanval weten. MITRE is de organisatie achter het Common Vulnerabilities and Exposures (CVE) systeem om kwetsbaarheden te identificeren en de Mitre Att&ck Matrix die technieken en tactieken van aanvallers beschrijft.
Begin dit jaar kreeg MITRE zelf met een inbraak te maken waarbij aanvallers via twee onbekende kwetsbaarheden toegang tot de Ivanti vpn-servers van de organisatie kregen. Via de servers werd vervolgens de Networked Experimentation, Research, and Virtualization Environment (NERVE) gecompromitteerd. Dit is een netwerk gebruikt voor onderzoek, ontwikkeling en prototyping. Volgens MITRE gaat het om een ongeclassificeerd netwerk en is het enterprise netwerk niet getroffen.
Via een gecompromitteerd admin-account wisten de aanvallers toegang te krijgen tot de VMware-infrastructuur van de NERVE-omgeving. Daarbij creëerden de aanvallers rogue virtual machines (VM's). Deze VM's worden direct via service-accounts op de hypervisor aangemaakt en beheerd, in plaats van de vCenter-adminconsole te gebruiken. Daardoor verschijnen deze virtual machines niet in het overzicht van vCenter, de ESXi-webinterface en ook sommige on-hypervisor command-line utilities. VCenter is een oplossing voor het beheer van VM's en gevirtualiseerde servers.
Door het gebruik van rogue VM's kunnen de aanvallers controle over het gecompromitteerde systeem behouden en tegelijkertijd de kans op detectie verkleinen, aldus MITRE. De organisatie voegt toe dat er speciale tools of technieken nodig zijn om rogue virtual machines te detecteren. In de analyse noemt MITRE verschillende zaken waarmee dergelijke VM's zijn te vinden en wordt ook een PowerShell-script gegeven dat kan helpen bij de detectie.
Key commando's om de rogue VMs te vinden (hypervisor CLI)
vim-cmd vmsvc/getallvms
esxcli vm process list | grep Display
Comparison of VM Lists: Compare the output of vim-cmd (API-based VM check) with the list of running VMs obtained from esxcli.
Dat helpt zeker.
Bedenk overigens dat dit kaliber aanvallers zeer waarschijnlijk de rogue VMs extreem stealth geconfigureerd zal hebben.
Niet reageren op ping en allerlei andere scan probes is geen rocket science .
Nu moeten - aangezien de rogue VMs wel zelf dingen deden - ze uiteindelijk zichtbaar zijn in mac tables/arp caches van hun netwerk gateway, en eventueel in flow monitoring verderop .
Helaas zijn vm-netwerken niet zo simpel/standaard te bewaken als 'normale' switches , om op die manier nieuwe 'devices' te spotten.
Maar je hebt zeker een punt dat een accuraat overzicht/vergelijking van wat er in realiteit in je netwerk acties vs wat er in je CMDB systemen staat ook voor security relevant is.
En een anoniem denkt hieruit te halen, dat het op Windows draait.
Al is dat natuurlijk eigenlijk niet opvallend...
En een anoniem denkt hieruit te halen, dat het op Windows draait.
Al is dat natuurlijk eigenlijk niet opvallend...
Als een organisatie maar groot genoeg is draait er van alles ergens wel IETS.
Back in the day riepen wij Amiga fanboys ook "NASA gebruikt Amiga's" als ergens in die enorme organisatie een Amiga gebruikt werd (kabelkrant met het kantine menu, desnoods) .
En later werd elke linux doos in een patchkast die mocht print-serven "Big Name Draait Linux" .
Nu denk ik dat Mitre zeker (ook) Windows gebruikt - en blijkbaar het nuttig vond om een powershell script te doneren.
Mogelijk dat een deel van hun beheertooling op een Windows machine gedaan wordt.
Anderen schrijven dan maar een python/perl/bash scripje voor hetzelfde.
Powershell is al enige tijd (na het loslaten van de .NET basis) zowel voor Windows als voor Linux beschikbaar.
Dat helpt zeker.
Bedenk overigens dat dit kaliber aanvallers zeer waarschijnlijk de rogue VMs extreem stealth geconfigureerd zal hebben.
Niet reageren op ping en allerlei andere scan probes is geen rocket science .
Nu moeten - aangezien de rogue VMs wel zelf dingen deden - ze uiteindelijk zichtbaar zijn in mac tables/arp caches van hun netwerk gateway, en eventueel in flow monitoring verderop .
Helaas zijn vm-netwerken niet zo simpel/standaard te bewaken als 'normale' switches , om op die manier nieuwe 'devices' te spotten.
Maar je hebt zeker een punt dat een accuraat overzicht/vergelijking van wat er in realiteit in je netwerk acties vs wat er in je CMDB systemen staat ook voor security relevant is.
Mooie aanvulling, dank je
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
