网星安全ITDR-vCenter集权安全解决方案_ITDR身份威胁检测与响应系统

网星安全ITDR-vCenter集权安全解决方案

网星安全 ITDR-vCenter 集权安全解决方案，融合 ITDR 身份威胁检测与响应系统及私有云基础架构搭建能力。支持 vCenter 环境的身份认证加固、异常行为检测与实时响应，通过细粒度权限控制与操作审计，保障 VMware 虚拟化平台安全。助力企业构建可信私有云环境，防范内部威胁与数据泄露风险，是企业级虚拟化安全的优选方案。

立即咨询

首页

数字化产品

身份安全

网星安全ITDR-vCenter集权安全解决方案

Kubernetes安全痛点 icon

未授权访问

如果管理员没有正确地配置访问控制，攻击者可能会获取未经授权的访问权限并对系统进行恶意操作。未授权访问可能导致数据泄露、数据篡改、拒绝服务攻击等。

漏洞攻击

CVE-2021-21985（vCenter Sever远程代码执行）、CVE-2020-3952（vCenter信息泄露漏洞）、CVE-2020-4006|（VMware命令注入漏洞）、CVE-2019-5534（VMware ESXi身份绕过漏洞）。

账号与权限滥用

攻击者可能会通过社会工程学或钓鱼攻击等手段获取管理员的账号和密码，然后使用这些凭证来操纵vCenter系统和虚拟机。同时，管理员可能会为用户授予过多的权限，或者授予了不应该具备的权限，例如允许用户访问虚拟机的敏感数据或操作虚拟机。

虚拟机锁屏绕过

攻击者在拿到Vcenter web控制台权限后，发现很多重要的系统处于锁屏状态，而这时想要获取这些虚拟机的权限，可以通过PE挂载、快照读取、VMDK文件挂载等方式来获取HASH或者绕过密码登录，最终拿到该虚拟机的权限。

vCenter攻击案例 icon

下图是一个2023年护网攻击案例，攻击队通过Web入口打点利用Confluence远程代码执行漏洞(CVE-2022-26134)拿到shell反弹到vps，查看内核版本利用CVE-2021-4034提权到root。内网扫描后发现存在vCenter机器，探测当前版本为6.7.2并存在CVE-2021-22005漏洞，上传蚁剑马拿到vCenter机器root权限。然后获取data.mdb文件，提取Idp证书，进行身份验证获取有效管理员的cookie，用于登录vCenter Web控制台，控制台存在管理DC机器，最终通过克隆虚拟机挂载KON-BOOT的iso镜像拿到域控权限。

勒索病毒组织通过Vmware环境进行病毒传播 icon

01 通过vCenter漏洞扩散新型Memento勒索软件

2021年10月，Sophos研究人员发表了一份关于Memento 勒索软件的主题报告。
Memento是一个新型勒索家族，该家族利用VMware vCenter Server Web漏洞（CVE-2021-21972）进行勒索攻击，在进入到受害者服务器后会进行凭证窃取，获取到正确的凭证后攻击者会尝试进行远程RDP/SSH登录，进行后续的横向移动以及投递勒索病毒。该漏洞其严重性评分为9.8，远程访问vCenter服务器的 TCP/IP 端口443的任何人都可以通过滥用此漏洞进行管理，以使用特权访问在操作系统上执行命令。

02 针对Vmware环境的勒索病毒攻击

2021年3月一国内企业遭到了针对VMware虚拟化环境勒索病毒攻击，大量虚拟机无法启用，用户生产业务受到影响，VMware vSphere集群仅有vCenter处于正常状态，部分Windows系统也遭到加密。此次勒索攻击事件中，受害用户的业务系统就是托管在ESXi服务器上，ESXi是VMware开发的Type-1虚拟机管理程序（又名“裸机”虚拟机管理程序），通常由vCenter管理，尽管ESXi不是Linux操作系统，但可以在ESXi命令外壳中运行一些Linux编译的ELF二进制文件。该勒索病毒就通过执行ELF文件进行RSA+AES加密，加密后修改文件后缀，并释放用于勒索的信息文件，给出联系缴纳赎金的邮箱地址

Kubernetes挖矿攻击案例 icon

针对vCenter的攻击已经体系化 icon

安全理念

事前：脆弱性梳理

vpxuser用户密码过期时间异常

vpxuser用户是贯穿vCenter和ESXI的一个特权用户，在勒索场景下，它是往往是突破ESXI的关键点

ESXi防火墙策略异常

攻击者可能会利用防火墙的缺陷对ESXi进行攻击，比如新增异常防火墙策略绕过限制

vCenter 开启SSH

开启vCenter SSH，攻击者会利用漏洞将SSH公钥写入vCenter的SSH目录下控制vCenter

高权限账户过多

高权限账户越多，越容易造成权限滥用的情况

CVE-2021-21972

Memento勒索软件常用此漏洞作为初始访问的途径，最终在受害网络部署勒索软件

CVE-2021-21985

此漏洞常常被攻击者用来在vCenter服务器上进行命令执行

CVE-2021-22005

REvil勒索软件利用该漏洞攻击vCenter，对服务器进行控制限

log4j2 JDNI注入

Conti 勒索软件利用关键的log4j2漏洞攻击VMware vCenter Server 实例并加密虚拟机

事前：脆弱性梳理

事中：威胁监测

威胁监测基于MITRE ATT&CK威胁模型矩阵设计。MITRE ATT&CK是一个基于真实网络攻击的战术和技术知识库模型，该模型将已知攻击的行为汇总成战术和技术的一种结构化列表，由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为，因此对于各种进攻性和防御性考量机制十分有用。

特色功能：身份威胁诱捕 icon

ITDR独特的提供了与集权设施的集成，可以重定向身份认证流量到蜜网以实现身份安全，并分析攻击者行为进行溯源反制。

创建蜜罐账户（高强度无规则密码48位字符密码穷举时间超过200年，无任何业务使用此账户）

域控、桌管、EDR下发脚本将蜜罐账户凭据写入到主机内存、浏览器、凭据管理器等位置

实时监测身份蜜罐账户行为，捕获攻击者所在位置与攻击方式

管理视角威胁分析

管理视角威胁分析

产品形态

ITDR分析运营中心

部署在客户安全管理网络中，对采集到的数据进行分析，识别脆弱性，发现威胁行为，联动vCenter进行处置指令下发署

可拆分为分析中心与管理运营中心，做集群分布式部署
虚拟化部署。

数据来源

无需安装任何插件，只需配置syslog日志转发将
vCenter数据发送到分析运营中心
分析运营中心通过API查询元数据据

、

配置需求

实施周期：资源准备完毕后，1.5h~2h完成平台部署。

解决方案-客户案例（某金融公司Kubernetes遭受攻击） icon

案例背景

2023年4月，某企业ESXi遭受到勒索组织的勒索，并要求支付赎金，对勒索路径进行分析，发现攻击者通过钓鱼邮件对企业内部人员进行钓鱼，并获取到员工终端的权限，接着进行横向移动拿到运维人员的主机，发现运维人员浏览器存储了vCenter账户密码，通过此账户密码登录到了vCenter的SSH服务，并解密vpxuser账户密码，接着进行提权，下发勒索脚本，加密所有的磁盘文件，并且替换ESXi Web页面为勒索信

解决方案

事前-基线排查：发现8条不合规的中高危基线，并且对其进行了整改。包括删除多余的高权限账户、完善防火墙配置。
事中-事件监测：攻击者再次发起攻击，监测密码喷洒、密码爆破、Log4j2 JNDI注入、SSH登录vCenter、强制重置管理员密码、LDAP新增用户等攻击。
事后-应急处置：定位失陷vCenter及终端、分析相关日志及勒索软件样本、全盘杀毒、全公司防病毒软件状态排查、安全意识培训。

客户价值

事前：全面梳理vCenter的攻击面与风险点。
事中：实时监测，协助客户发现了针对vCenter的勒索攻击。
事后：协助客户对vCenter进行全面加固，针对vCenter防护弱点进行持续改进。

关于我们

北京中安网星科技有限责任公司（以下简称“网星安全”），创立于2020年，作为专业解决企业身份安全威胁的网络安全公司，网星安全始终秉持“创建一个防御者比攻击者更有优势的网络世界”愿景，以更快的速度、更大的规模覆盖和更高的准确性击败攻击者的每一次攻击。
公司聚焦于“身份威胁检测与响应（ITDR）”，以AD安全防护问题切入身份安全治理，延伸覆盖Exchange、Jumpserver、Vcenter、K8S、公有云等场景，为身份安全检测与响应（ITDR）解决方案的落地打下了坚实的基础。网星安全将客户放在首位，将传统的客户关系转变为真正的合作伙伴关系，为用户提供更立体的身份安全体系。凭借扎实的技术研发实力，现已横向覆盖各行业多个领域，包含金融、交通、能源、科技、消费等超100家大型企业。