1. vSphere介绍

• vSphere 是一种虚拟化解决方案，由虚拟机管理程序 (ESXi) 和管理控制台 (vCenter) 组成

• ESXi 是 vSphere Hypervisor

• vCenter 是 vSphere Hypervisor 的集中管理系统

• vCenter 和 ESXi 均可以且默认使用 HTTP RestAPI 通信，通信格式为 XMLRPC

• vMotion允许将虚拟机从一个 ESXi 实时迁移到另一个 ESXi

• 虚拟机存储在数据存储上，该数据存储通常是共享存储（SAN、NAS、vSAN）

• vSAN 通过网络组合直连存储来实现 SAN 的逻辑表示

1.1 ESXi平台

ESXi内核是VMKernel，文件系统是VMFS。

ESXi取证所需分析的关键日志所在目录：

1.1.1 收集ESXI日志

在 ESXi Shell 上运行以下脚本/usr/bin/vm-support，生成的文件具有以下格式 esx-date-unique-xnumber.tgz。

1.2 vCenter平台

vCenter内核是Linux Kernel (PhotonOS)，内置数据库vPostgres或者扩展Oracle。

1.2.1 收集vCenter日志

使用以下方法，查看日志文件。

导出的日志列表：

2. 典型案例

2.1 勒索组织

勒索组织常通过安全漏洞/社工/密码爆破/AD域认证等方式获得 vCenter 管理员密码后，对所有受管 ESXi主机下发 vSphere Host Profile，修改 root 密码或投递 SSH authorized_keys文件 ，通过 vCenter 中对应 ESXi服务器的服务管理功能，启动 ESXi 主机的 SSH 服务。

然后通过虚拟机快照功能和挂载额外的虚拟磁盘来提取内存中的操作系统密码，进而利用VMRC 等手段，登录虚拟机后提取系统中的敏感数据，进行后渗透操作，最后通过修改的密码 / SSH密钥使用 scp 命令投放勒索软件，完成勒索攻击。

勒索组织利用vShpere进行攻击：

• 使用相同的勒索软件针对不同的操作系统

• 对位于数据存储上的虚拟硬盘进行加密

• 绕过虚拟机级别的EDR终端检测

• 绕过虚拟机之间的网络防火墙规则设置

通过域认证操作 vCenter 的案例：

2.2 APT组织

APT组织利用vShpere进行攻击：

• 绕过虚拟机之间设置的网络防火墙规则

• 通过下载位于数据存储上的虚拟磁盘来窃取数据

• 在暂停和恢复虚拟机的过程中，获取内存转储，不触发虚拟机级别的EDR终端检测

• 使用在内存转储中检索到的有效凭据连接到具有VMRC的虚拟机

• 不需要在该操作系统上运行任何恶意程序，从而获得Windows系统持久化访问权限

创建 Host Profile 并上传 SSH 密钥、重置 DC 用户密码并挂载新磁盘进行数据提取的案例：

3. 历史重要漏洞

历史VMware虚拟化系列平台存在多个重要漏洞，常被勒索组织或APT组织使用，下面介绍几个重要漏洞的取证分析方法。

3.1 CVE-2021-21972

漏洞描述：

Vmware vSphere Client 访问控制错误漏洞(CVE-2021-21972)，攻击者可通过访问开放web端口的服务器向vCenter Server发送精心构造的请求从而在操作系统上执行任意命令。

影响版本:

• 7.0

• 6.7

• 6.5

历史攻击活动：

Conti勒索组织、memento勒索组织、CozyBear APT组织

官方解决方案：

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

漏洞利用：

漏洞利用痕迹：

审计\VMware\vCenterServer\logs\vsphere-ui\logs\access目录下access日志，查找漏洞利用痕迹。

/ui/vropspluginui/rest/services/uploadova

GET方法探测漏洞返回405说明漏洞存在，POST方法返回200，说明漏洞可能被利用。

审计\VMware\vCenterServer\vsphere-ui\logs\vsphere_client_virgo.log日志，查找漏洞利用痕迹。

3.2 CVE-2021-21974

漏洞描述：

VMware ESXi 缓冲区错误漏洞(CVE-2021-21974)，攻击者通过427端口发送恶意数据，导致远程代码执行。

影响版本:

• ESXi70U1c-17325551之前的7.0版本 ,

• ESXi670-202102401-SG之前的6.7版本,

• ESXi650-202102101-SG之前的6.5版本。

历史攻击活动：

ESXiArgs勒索家族

官方解决方案：

 https://www.vmware.com/security/advisories/VMSA-2021-0002.html

漏洞利用：

漏洞利用痕迹：

因为漏洞利用过程不稳定，主机痕迹不明显，只能通过审计ESXI的/var/run/log/syslog.log日志，查看slpd进程是否出现异常重启的时间，来判断是否遭受漏洞利用。

/var/run/log/vmkernel.log，slpd进程崩溃日志。

3.3 CVE-2021-21985

漏洞描述：

VMware vCenter Server代码执行漏洞(CVE-2021-21985)，攻击者可通过访问开放web端口的服务器向vCenter Server发送精心构造的请求从而在操作系统上执行任意命令。

影响版本:

• VMwarev Center Server 6.5

• VMware vCenter Server 6.7

• VMware vCenter Server 7.0

历史攻击活动：

Conti勒索组织

官方解决方案：

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

漏洞利用：

漏洞利用痕迹：

审计\VMware\vCenterServer\logs\vsphere-ui\logs\access目录下access日志，查找漏洞利用痕迹。

/ui/h5-vsan/rest/proxy/service/vmodlContext/loadVmodlPackages

3.4 CVE-2021-22005

漏洞描述：

VMware vCenter Server任意文件上传漏洞(CVE-2021-22005)，攻击者可通过访问开放web端口的服务器向vCenter Server发送上传特定的文件从而在Center服务器上执行代码。

影响版本:

• VMware vCenter Server 7.0

• VMware vCenter Server 6.7

历史攻击活动：

Conti勒索组织、Cerber勒索家族

官方解决方案：

https://www.vmware.com/security/advisories/VMSA-2021-0020.html

漏洞利用：

漏洞利用痕迹：

审计access日志，查找漏洞利用痕迹。

/analytics/telemetry/ph/api/hyper/send?_c=aaa&_i=helltest /analytics/ph/api/dataapp/agent?_c=test1&_i=1/analytics/ceip/sdk/..;/..;/..;/analytics/ph/api/dataapp/agent?action=collect&_c=aaa&_i=test2

reference

https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.vsphere.monitoring.doc/

https://www.crowdstrike.com/blog/hypervisor-jackpotting-ecrime-actorsincrease-targeting-of-esxi-servers/

https://news.sophos.com/en-us/2021/10/05/python-ransomware-scripttargets-esxi-server-for-encryption/

https://kb.vmware.com/s/article/2003941

https://docs.vmware.com/en/VMwareRemote-Console/index.html