Splunk tarafından siber güvenlik ekiplerinin ESXI altyapısını hedefleyen fidye yazılımı saldırılarını felaket hasarına neden olmadan önce algılamasına ve önlemelerine yardımcı olmak için ayrıntılı bir güvenlik kılavuzu.
Rehber, merkezi doğaları ve genellikle yetersiz izleme nedeniyle siber suçlular için ana hedefler haline gelen VMware’in ESXI hipervisor sistemlerine karşı artan tehditlere bir yanıt olarak geliyor.
Kapsamlı kaynak, kuruluşların tüm sanallaştırılmış ortamları günler içinde şifreleyebilecek bu yıkıcı saldırılara karşı savunmalarını güçlendirmelerine yardımcı olmak için teknik algılama stratejileri, kod örnekleri ve yapılandırma yönlendirmesi sağlar.
Key Takeaways
1. Splunk released detection queries to identify suspicious ESXi activities.
2. Guide covers monitoring ESXi logs through syslog forwarding with technical implementation code.
3. ESXi hypervisors are prime ransomware targets that can encrypt entire environments rapidly
ESXI Fidye Yazılımı Saldırısı Rehber
Araştırmacılar, kapsamlı günlük izleme yoluyla kötü niyetli ESXI aktivitesini tanımlamak için özel olarak tasarlanmış kapsamlı bir analitik hikaye geliştirdiler.
Kılavuz, syslog verilerini harici sistemlere göndermek için ESXI günlüğünü yapılandırmanın kritik önemini vurgulamaktadır, özellikle önceden yapılandırılmış çerçevelerle kapsayıcı bir Syslog-NG sunucusu sağlayan Splunk Connect for Syslog aracılığıyla.
Kuruluşlar, evrensel ileticilere sahip özel Syslog sunucuları veya doğrudan yutma yetenekleri de dahil olmak üzere çeşitli yöntemler aracılığıyla doğrudan izleme uygulayabilir.
Tespit çerçevesi, ESXCLI sistem seviyesi komutlarını tanımlayan sistem bilgileri keşif algılama gibi keşif faaliyetlerini hedefleyen karmaşık sorguları içerir: ESXI_SYSLOG Message = ”*System*” ve “*ESXCLI*” ve Mesaj İçindeki (“ESXCLI*” ve Mesaj İçindekiler.
Ek kritik tespitler, rol yönetici parametrelerine sahip ESXCLI Sistem İzin Seti gibi komutlar aracılığıyla harici kök giriş denemeleri ve yetkisiz yönetici rol atamaları dahil olmak üzere şüpheli hesap faaliyetlerini izler.
ESXI Günlük İzleme
Kılavuz, güvenlik ekiplerinin etkili bir şekilde izlemesi gereken temel ESXI günlük türlerinin ayrıntılı dökümlerini sağlar.
Kabuk günlükleri, hem standart kabuk işlemleri hem de ESXCLI etkileşimleri dahil olmak üzere yürütülen komutları yakalarken, HostD günlükleri ana bilgisayar yönetim hizmeti etkinliklerini, VM yaşam döngüsü etkinliklerini ve kimlik doğrulama girişimlerini kaydeder.
VMK uyarı günlükleri, uyarı düzeyi olaylarına odaklanan filtrelenmiş VMKernel görünümleri ve ESXI güncelleme günlükleri, yetkisiz arka kapı kurulumlarını gösterebilecek vib (vSphere kurulum paketi) kurulumları sunar.
Kritik algılama yetenekleri, NFC protokol istismarı yoluyla ESXCLI Yazılım Kabul Set komutlarını, SSH etkinleştirme algılamasını ve VM dışa aktarma izlemesini hedefleyen sorgular yoluyla VIB kabul seviyesi kurcalamayı izlemeyi içerir.
Çerçeve ayrıca, ESXCLI Sistemi AuditRords komutlarını kullanarak denetim kurcalama tespiti ve günlük koleksiyonunu bozabilecek Syslog yapılandırma değişikliklerini de dahil olmak üzere göstergenin kaldırma girişimlerini de ele alır.
Gelişmiş özellikler, tespit mekanizmalarını önlemek isteyen sofistike tehdit aktörleri tarafından yaygın olarak kullanılan zaman damgası kaçırma tekniklerini tanımlamaya yardımcı olan NTPClock izleme yoluyla sistem saat manipülasyonu tespiti içerir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.