一、什么是集權(quán)設(shè)施？

集權(quán)是指決策權(quán)在組織系統(tǒng)中較高層次的一定程度的集中。在IT領(lǐng)域，也有相似的概念，具體實(shí)踐包括Kubernetes、AD域、vCenter、Zabbix、堡壘機(jī)等，此類集權(quán)設(shè)施通?？煽刂拼罅康挠?jì)算節(jié)點(diǎn)或身份憑據(jù)，自上而下成金字塔結(jié)構(gòu)，常見的集權(quán)設(shè)施對(duì)比如下。

本篇文章主要講解vSphere體系中的集權(quán)設(shè)施vCenter所面臨的威脅以及針對(duì)它的防御方案。

二、vCenter：云基礎(chǔ)設(shè)施的控制中樞

vSphere是VMvare推出的新一代數(shù)據(jù)中心虛擬化套件，提供了虛擬化基礎(chǔ)架構(gòu)、高可用性、集中管理、監(jiān)控等一整套解決方案。vSphere的兩個(gè)核心組件是 ESXi 和 vCenter Server。ESXi 是用于創(chuàng)建并運(yùn)行虛擬機(jī)和虛擬設(shè)備的虛擬化平臺(tái)。vCenter Server 是一項(xiàng)服務(wù)，一般也稱為 vCenter，用于管理多個(gè)ESXi主機(jī)以及ESXi主機(jī)上運(yùn)行的虛擬機(jī)，其架構(gòu)如下圖所示。

由于vSphere平臺(tái)的穩(wěn)定性、兼容性、擴(kuò)展性等眾多優(yōu)點(diǎn)，使得它在大型企業(yè)、政府、醫(yī)院等重要單位得到廣泛應(yīng)用。目前在企業(yè)中vSphere的應(yīng)用場(chǎng)景主要分為服務(wù)器集群和云桌面兩大場(chǎng)景。

• 服務(wù)器集權(quán)管理方案

vSphere平臺(tái)作為集權(quán)類基礎(chǔ)設(shè)施，在企業(yè)內(nèi)被大量應(yīng)用在服務(wù)器集群的建設(shè)中，對(duì)運(yùn)行在ESXi上的大量業(yè)務(wù)服務(wù)器進(jìn)行統(tǒng)一管理。

• 云桌面集權(quán)管理方案

云桌面是現(xiàn)代化企業(yè)中大量應(yīng)用的一種基礎(chǔ)設(shè)施，vSphere也經(jīng)常被用作配合AD對(duì)計(jì)算機(jī)及用戶賬戶等身份憑據(jù)進(jìn)行統(tǒng)一認(rèn)證管理，登錄ESXi上的云桌面集群，實(shí)現(xiàn)云桌面建設(shè)。

三、誰在攻擊vCenter？

vCenter平臺(tái)應(yīng)用范圍廣，涉及資產(chǎn)多，這是一個(gè)基本現(xiàn)狀。然而，正是因?yàn)関Center的以上現(xiàn)狀，讓它成為了最近幾年來攻擊者的重要攻擊目標(biāo)。一旦控制vCenter，就能夠控制vCenter管理的所有資產(chǎn)，這對(duì)攻擊者具有相當(dāng)大的誘惑力。不僅如此，攻擊者也會(huì)以ESXi和ESXi上的虛擬機(jī)為突破口，去尋找漏洞，攻擊企業(yè)其他業(yè)務(wù)系統(tǒng)，獲取更多機(jī)密資料。

• 勒索組織

近年來，針對(duì)vSphere的勒索軟件相繼出現(xiàn)，并且影響重大。比如Babuk、Luna、Revil等，都是針對(duì)vSphere的勒索軟件，它們通常會(huì)使用一個(gè)ESXi加密器，對(duì)受害系統(tǒng)后綴為.vmdk、.vmsn、.dll等重要文件進(jìn)行加密，導(dǎo)致系統(tǒng)崩潰或者重要信息無法查看，對(duì)企業(yè)造成巨大損失。

• APT組織

由于vCenter集權(quán)設(shè)施的特性，涉及資產(chǎn)多，應(yīng)用范圍廣。它也逐漸成功了APT組織的攻擊目標(biāo)，APT組織攻擊vCenter的目的和勒索組織的目的有很大區(qū)別，他們目的不是一次性地加密文件，實(shí)施勒索，而是對(duì)受害目標(biāo)進(jìn)行長(zhǎng)期控制，持續(xù)竊取數(shù)據(jù)。

四、如何發(fā)起攻擊？

不管是針對(duì)vCenter的勒索攻擊，還是針對(duì)vCenter的APT，它們的共同點(diǎn)都是利用vCenter平臺(tái)的漏洞或者缺陷進(jìn)行攻擊,以下是攻擊者實(shí)施攻擊的技能矩陣。

• 信息探測(cè)

信息探測(cè)作為攻擊的初始環(huán)節(jié)，是攻擊成功的關(guān)鍵所在，攻擊者可以利用一種或多種技術(shù)手段對(duì)vCenter平臺(tái)的版本、敏感文件、用戶、密碼、服務(wù)端口等信息進(jìn)行探測(cè)。在這個(gè)階段，攻擊者可利用的常見信息探測(cè)方法包括SOAP版本探測(cè)、密碼爆破、密碼噴灑、PSQL敏感信息查詢、LDAP敏感信息查詢、vCenter備份文件泄露等。

• 權(quán)限獲取

有了第一階段的信息探測(cè)，攻擊者通常已經(jīng)獲取到了vCenter平臺(tái)的相關(guān)敏感信息，這一階段就是通過各種Nday和0day對(duì)vCenter平臺(tái)進(jìn)行攻擊，以獲得對(duì)vCenter的初始訪問權(quán)限。一般情況下，可根據(jù)所掌握的目標(biāo)相關(guān)信息，利用CVE-2021-21985、CVE-2021-22005、log4j2 JNDI等方式去獲取目標(biāo)權(quán)限。

• 權(quán)限維持

權(quán)限維持也就是持久化，它是vCenter后滲透中一個(gè)重要的攻擊手段。攻擊者在獲取vCenter管理員權(quán)限之后，會(huì)針對(duì)vCenter的技術(shù)特點(diǎn)在服務(wù)器中遺留后門以達(dá)到對(duì)vCenter進(jìn)行持久控制的目的。常見的持久化方法有LDAP新增賬戶、強(qiáng)制重置用戶密碼、高權(quán)限角色賦予等。

• 防御繞過

日志通常會(huì)記錄系統(tǒng)上的敏感操作（訪問記錄、操作記錄等），以此為依據(jù)來定位攻擊，是常見的防御方式。基于此種情況，攻擊者會(huì)想辦法繞過防御。比如可能會(huì)禁用日志記錄、清除日志、關(guān)閉安全監(jiān)控軟件、Syslog-Hook、非常用API功能調(diào)用等方式來繞過防御，實(shí)現(xiàn)靜默攻擊的目的。

• 虛擬機(jī)權(quán)限獲取

攻擊者在拿到vCenter web控制臺(tái)權(quán)限后，發(fā)現(xiàn)很多重要的系統(tǒng)處于鎖屏狀態(tài)，如果這時(shí)想要獲取這些虛擬機(jī)的權(quán)限，那么就可以通過Kon-Boot利用、VMDK文件掛載、快照讀取HASH、利用PE掛載等方式，去拿到虛擬機(jī)的權(quán)限。

• 虛擬機(jī)逃逸

攻擊者在通過攻擊虛擬機(jī)上的業(yè)務(wù)系統(tǒng)獲得虛擬機(jī)權(quán)限之后，一般會(huì)嘗試?yán)锰摂M機(jī)逃逸漏洞，它能夠?qū)е鹿粽咄黄葡拗迫タ刂艵SXi。實(shí)現(xiàn)感染宿主機(jī)或者在宿主機(jī)上運(yùn)行惡意軟件。

以上攻擊階段不是孤立的、一成不變的，相反，它是靈活多變的，通過結(jié)合以上攻擊階段的各種方法，攻擊者會(huì)構(gòu)建一條條的針對(duì)vCenter平臺(tái)的攻擊鏈，實(shí)現(xiàn)他們的攻擊目的，針對(duì)vCenter各個(gè)階段攻擊手法的詳細(xì)解析，可參考《ITDR之vSphere白皮書》中vSphere攻擊技戰(zhàn)法一章。

五、準(zhǔn)備好保護(hù)您的vCenter了嗎

VMware公司體量龐大，vCenter平臺(tái)應(yīng)用范圍廣、管理資產(chǎn)多，因此，vCenter深受攻擊者青睞，成為他們的重點(diǎn)攻擊目標(biāo)?；趘Center所面臨的威脅，vCenter急需一套優(yōu)秀的威脅檢測(cè)與響應(yīng)方案來保障其自身的安全。

vCenter安全加固最佳實(shí)踐

對(duì)于vCenter的防護(hù)，我們可以參考VMware官方的最佳實(shí)踐，其中提到了對(duì)于vSphere的各個(gè)組件，包括vCenter、ESXi等各個(gè)方面的防護(hù)措施，我們對(duì)官方的最佳實(shí)踐做了深入分析及落地，細(xì)節(jié)可參考《ITDR之vSphere白皮書》中vSphere加固一章，其中詳細(xì)描述了加固策略、權(quán)限管理、密碼策略管理等方面的具體加固措施。

中安網(wǎng)星ITDR（身份威脅檢測(cè)與響應(yīng)）平臺(tái)

ITDR（身份威脅檢測(cè)與響應(yīng)）平臺(tái)是中安網(wǎng)星推出的針對(duì)身份威脅檢測(cè)與響應(yīng)高級(jí)威脅分析平臺(tái)。主要圍繞Identity及Infrastructure為核心進(jìn)行防護(hù)，涵蓋主流身份基礎(chǔ)設(shè)施及集權(quán)設(shè)施，圍繞從攻擊的事前加固、事中監(jiān)測(cè)，事后阻斷出發(fā)，產(chǎn)品的設(shè)計(jì)思路覆蓋攻擊者活動(dòng)的全生命周期。

ITDR平臺(tái)同樣具備針對(duì)主流集權(quán)設(shè)施vCenter平臺(tái)全流程防御方案，場(chǎng)景架構(gòu)如下圖所示: