Una guía de seguridad detallada publicada por Splunk para ayudar a los equipos de ciberseguridad a detectar y prevenir ataques de ransomware dirigidos a la infraestructura ESXi antes de que puedan causar daños catastróficos.
La guía se produce como una respuesta al aumento de las amenazas contra los sistemas ESXI Hypervisor de VMware, que se han convertido en objetivos principales para los cibercriminales debido a su naturaleza centralizada y, a menudo, un monitoreo inadecuado.
El recurso integral proporciona estrategias de detección técnica, ejemplos de código y orientación de configuración para ayudar a las organizaciones a fortalecer sus defensas contra estos ataques devastadores que pueden cifrar entornos virtualizados enteros en cuestión de días.
Control de llave
1. Splunk lanzó consultas de detección para identificar actividades de ESXi sospechosas.
2. Guía cubre los registros de monitoreo de ESXi a través del reenvío de Syslog con el código de implementación técnica.
3. Los hipervisores de ESXI son objetivos de ransomware primarios que pueden cifrar entornos enteros rápidamente
Guía de ataque de ransomware ESXI
Los investigadores han desarrollado una extensa historia analítica diseñada específicamente para identificar la actividad de ESXi maliciosa a través del monitoreo integral de registros.
La guía enfatiza la importancia crítica de configurar el registro de ESXi para enviar datos de syslog a sistemas externos, particularmente a través de Splunk Connect para Syslog, que proporciona un servidor syslog-NG contenedorizado con marcos preconfigurados.
Las organizaciones pueden implementar el monitoreo directo a través de varios métodos, incluidos los servidores Syslog dedicados con reenviadores universales o capacidades de ingestión directa.
El marco de detección incluye consultas sofisticadas dirigidas a actividades de reconocimiento, como la detección de descubrimiento de información del sistema que identifica los comandos de nivel de sistema ESXCLI: ESXI_SYSLOG Mensaje = “*System*” y mensaje = “*ESXCLI*” y mensaje en (“*Get*”, “*Lista*”) y mensaje = “*Usar =” No mensajes = “*****” Sistema*””.
Descubrimiento de información del sistema
Las detecciones críticas adicionales monitorean actividades de cuenta sospechosas, incluidos los intentos de inicio de sesión de raíz externos y las asignaciones de roles de administrador no autorizadas a través de comandos como el sistema ESXCLI Sistema establecido con parámetros de administración de roles.
Rol de administrador otorgado por el usuario
Monitoreo de registro de ESXI
El guía proporciona Desgloses detallados de los tipos de registro ESXi esenciales que los equipos de seguridad deben monitorear de manera efectiva.
Los registros de shell capturan comandos ejecutados, incluidas las operaciones de shell estándar y las interacciones ESXCLI, mientras que HOSTD registra las actividades de servicio de gestión de host de HostD, eventos de ciclo de vida de VM e intentos de autenticación.
Los registros de advertencia de VMK ofrecen vistas de VMKernel filtradas que se centran en eventos de nivel de advertencia, y los registros de actualización de ESXI rastrean las instalaciones VIB (VSphere Installation Bundle) que podrían indicar instalaciones de puerta trasera no autorizadas.
Las capacidades de detección crítica incluyen el monitoreo de la manipulación del nivel de aceptación de VIB a través de consultas dirigidas a los comandos del conjunto de aceptación del software ESXCLI, la detección de habilitación de SSH y el monitoreo de exportación de VM a través del abuso del protocolo NFC.
Cambio de configuración de syslog
El marco también aborda los intentos de eliminación de indicadores, incluida la detección de manipulación de auditorías utilizando los comandos del sistema ESXCLI AuditRecords y los cambios de configuración de Syslog que podrían interrumpir la colección del registro.
Las características avanzadas incluyen la detección de la manipulación del reloj del sistema a través del monitoreo de NTPClock, ayudando a identificar técnicas de evasión de la marca de tiempo comúnmente empleadas por sofisticados actores de amenaza que buscan evitar los mecanismos de detección.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
