VMware ESXi: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-981	Создание ssh-туннелей на ESXi	При наличии прав на выполнение команд на хосте атакующий может использовать SSH для организации обратного доступа или скрытого взаимодействия с внешними и внутренними ресурсами через SSH-туннели. Данное правило направлено на выявление создания SSH-туннелей на ESXi-серверах. Оно срабатывает при обнаружении выполнения SSH-команд с аргументами, указывающими на проброс портов `-L`, `-R` или `-D`. Такой подход позволяет зафиксировать попытки организации обхода сетевых политик, удаленного доступа или скрытого трафика в обход мониторинга. При срабатывании правила следует проверить, кто последний осуществлял подключение к серверу и уточнить у ответственных лиц легитимность активности. Также можно использовать команду `ps -c \| grep ssh` для анализа активных процессов на сервере ESXi. Если в выводе содержится процесс SSH с подозрительной командой, рекомендуется немедленно завершить этот процесс и начать полноценное расследование в случае отсутствия обоснования для использования туннелей.	Execution (TA0002) Command and Control (TA0011) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004) Proxy (T1090) Protocol Tunneling (T1572)
RV-D-984	Использование утилит ESXi через CLI	Данное правило направлено на выявление использования административных утилит на серверах VMware ESXi. Эти утилиты включают команды, такие как `vim-cmd`, `esxcli`, `esxcfg-advcfg` и `vmkfstools`, которые могут использоваться для управления виртуализацией, пользователями и разрешениями, создания и удаления виртуальных машин, изменения настроек сети и других критичных операций на сервере ESXi. Использование этих утилит без соответствующего контекста может указывать на попытки злоупотреблений или несанкционированного доступа, особенно если действия выполняются через командную строку, а не через веб-панель управления. Правило срабатывает при обнаружении запуска указанных утилит с ключевыми параметрами `get`, `set`, `kill`, `list`, что позволяет зафиксировать попытки просмотра или изменения конфигурации, завершения процессов и других операций, влияющих на работу инфраструктуры виртуализации. При срабатывании правила необходимо проверить, кто последний выполнял команды на сервере, и уточнить у владельца УЗ легитимность действий. В случае подтверждения нелегитимной активности следует немедленно сменить пароль от УЗ администратора сервера.	Execution (TA0002) Persistence (TA0003) Defense Evasion (TA0005) Discovery (TA0007) Lateral Movement (TA0008) Impact (TA0040) System Network Configuration Discovery (T1016) Remote System Discovery (T1018) Remote Services (T1021) SSH (T1021.004) System Network Connections Discovery (T1049) Process Discovery (T1057) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004) Hypervisor CLI (T1059.012) Indicator Removal (T1070) Clear Persistence (T1070.009) System Information Discovery (T1082) Account Discovery (T1087) Local Account (T1087.001) System Time Discovery (T1124) Create Account (T1136) Local Account (T1136.001) Data Destruction (T1485) Service Stop (T1489) Inhibit System Recovery (T1490) Server Software Component (T1505) vSphere Installation Bundles (T1505.006) Software Discovery (T1518) System Shutdown/Reboot (T1529) Account Access Removal (T1531) Disk Wipe (T1561) Impair Defenses (T1562) Disable or Modify Tools (T1562.001) Disable or Modify System Firewall (T1562.004) Indicator Blocking (T1562.006) Hide Artifacts (T1564) Run Virtual Instance (T1564.006) Modify Cloud Compute Infrastructure (T1578) Create Snapshot (T1578.001) Virtual Machine Discovery (T1673)
RV-D-1007	Использование chmod в ESXi через CLI	Использование команды chmod через оболочку ESXi может указывать на попытку изменить права доступа к критически важным файлам или сделать доставленные скрипты исполняемыми, как это наблюдалось в атаках группировки Nevada, направленных на шифрование виртуальных машин. Правило также отслеживает запуск chmod с ключом `+w`, который позволяет редактировать файлы, изначально недоступные для изменения, например crontab, что может привести к добавлению заданий, выполняющихся от имени root. При срабатывании правила необходимо определить инициатора команды, проверить ее легитимность и, при отсутствии разрешения, провести расследование, сменить пароль соответствующей учетной записи и отключить SSH-доступ, если он не используется для администрирования.	Execution (TA0002) Defense Evasion (TA0005) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004) File and Directory Permissions Modification (T1222) Linux and Mac File and Directory Permissions Modification (T1222.002)
RV-D-1030	Удаление или отключение логирования команд	Удаление или отключение логирования команд является распространенной техникой сокрытия активности, особенно на платформах без полноценного агентского мониторинга, таких как VMware ESXi. Установив переменную окружения `HISTFILE` в значение `0`, `/dev/null` или удалив файл истории (например, `/.ash_history`), атакующий может предотвратить запись вводимых команд в рамках интерактивной сессии shell. Такое поведение часто наблюдается во вредоносных инструментах, включая бэкдоры, использующие эту технику для минимизации следов присутствия. Данное правило отслеживает команды, отключающие ведение истории команд. При срабатывании правила рекомендуется незамедлительно проверить активные shell-сессии на хосте, приостановить подозрительную активность, инициировать изоляцию системы (если это возможно), заблокировать или временно ограничить доступ для затронутой учетной записи. Если активность не подтверждена как легитимная, стоит сменить пароль от УЗ, которые имеют привилегии администратора.	Defense Evasion (TA0005) Indicator Removal (T1070) Clear Command History (T1070.003) Impair Defenses (T1562) Impair Command History Logging (T1562.003)
RV-D-1031	Изменение меток времени через touch	Атакующие могут изменять атрибуты времени файлов, чтобы скрыть новые файлы или изменения в существующих. Timestomping — это относительно простая, но эффективная техника сокрытия следов, активно применяемая в атакующих цепочках. На платформе ESXi она может быть реализована с использованием встроенной утилиты touch, которая может изменять значения atime и mtime, что и используется атакующими для сокрытия следов, для установки произвольных дат доступа и модификации файлов. При срабатывании правила рекомендуется незамедлительно проверить активные shell-сессии на хосте, приостановить подозрительную активность, инициировать изоляцию системы (если это возможно), заблокировать или временно ограничить доступ для затронутой учетной записи. Если активность не подтверждена как легитимная, стоит сменить пароль от УЗ, которые имеют привилегии администратора.	Defense Evasion (TA0005) Indicator Removal (T1070) Timestomp (T1070.006)
RV-D-1032	Маскировка через переименование/подмену index.html	Хосты VMware ESXi используют файл `index.html` в своем веб-интерфейсе для задач управления. Атакующие могут переименовывать этот файл, чтобы избежать обнаружения или заменить его вредоносной версией, что упрощает несанкционированный доступ или утечку данных. Данное правило на основе событий auditd отслеживает выполнение команд, которые могут привести к модификации или замене файла `index.html`. При срабатывании правила определите, какой пользователь или процесс выполнил действие, и проанализируйте журнал входов для выявления возможного несанкционированного доступа. При необходимости изолируйте хост и проверьте файлы на наличие признаков вредоносной активности.	Defense Evasion (TA0005) Masquerading (T1036) Match Legitimate Resource Name or Location (T1036.005)
RV-D-1033	Доступ к критичным файлам на сервере ESXi	Правило детектирует доступ к критичным файлам на сервере ESXi. К критичным файлам относятся `/var/spool/cron/crontabs/root` и `/etc/rc.local.d/local.sh`. Внося изменения в первый, атакующий может установить скрытые задачи, которые будут выполняться с повышенными правами, что позволяет обеспечить постоянный доступ или выполнение вредоносного кода. Второй файл используют для того, чтобы внедрить команды, автоматически исполняющиеся при загрузке системы, что также способствует сохранению контроля над системой. Данные действия могут указывать на активность шифровальщиков, которые ранее были замечены в атаках на ESXi. Подробнее в разделе reference. При срабатывании правила необходимо проверить, является ли доступ легитимным, если нет, то провести внутреннее расследование и временно ограничить доступ к серверам ESXi. Если возможно, отключите на сервере доступ по ssh и смените пароли от административных учетных записей.	Execution (TA0002) Persistence (TA0003) Boot or Logon Initialization Scripts (T1037) RC Scripts (T1037.004) Scheduled Task/Job (T1053) Cron (T1053.003) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004)
RV-D-1042	Использование find в ESXi	Использование команды `find` с ключом `-exec` позволяет выполнять команды для каждого найденного файла, что может быть использовано для запуска несанкционированных команд, таких как удаление файлов с расширением `.log` или поиск файлов, характерных для систем VMware ESXi, например, `/etc/vmware/`, `/usr/lib/vmware/`, `/vmfs/*`. Данное правило направлено на выявление использования команды `find` с параметром `-exec` или просто на поиск критичных для ESXi-файлов, что может быть признаком проведения разведки или подготовки к шифрованию виртуальной инфраструктуры и других вредоносных действий. При срабатывании этого правила рекомендуется проверить, что именно выполнялось через `find -exec`, либо для чего был осуществлен поиск файлов. Также установить, кто является инициатором действий. Если активность не является легитимной, следует сменить пароль администратора, отключить SSH на сервере и начать расследование.	Execution (TA0002) Defense Evasion (TA0005) Discovery (TA0007) Collection (TA0009) Data from Local System (T1005) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004) Indicator Removal (T1070) File Deletion (T1070.004) File and Directory Discovery (T1083)
RV-D-1043	Обнаружение уязвимой конфигурации ESXi	Правило предназначено для выявления потенциально уязвимой конфигурации на серверах VMware ESXi. Оно срабатывает в случаях, когда на узле запускается сервис slpd либо отключается встроенный межсетевой экран, что может свидетельствовать об изменении настроек безопасности. Особенно критичен запуск службы slpd, так как она ранее использовалась в атаках, связанных с уязвимостью CVE-2021-21974, которая позволяет выполнить удаленный код через компонент OpenSLP. Для успешной эксплуатации этой уязвимости необходимо, чтобы служба slpd была активна, а входящий трафик по порту 427 разрешен. Именно поэтому отключение межсетевого экрана также представляет опасность. Это может привести к открытию необходимого для атаки сетевого порта. При срабатывании правила необходимо определить, какое именно действие было выполнено — запуск slpd или отключение межсетевого экрана. Проверьте журнал событий ESXi и определите последнего пользователя, заходившего в систему. Уточните у него легитимность действий. Если активность оказалась нелегитимной, рекомендуется сменить пароль от учетной записи, с которой, вероятно, были внесены изменения, а также от всех учетных записей с привилегиями администратора или входящих в соответствующие группы.	Initial Access (TA0001) Execution (TA0002) Defense Evasion (TA0005) Lateral Movement (TA0008) Command and Scripting Interpreter (T1059) Unix Shell (T1059.004) Exploit Public-Facing Application (T1190) Exploitation of Remote Services (T1210) Impair Defenses (T1562) Disable or Modify System Firewall (T1562.004) System Services (T1569)
RV-D-1202	Лишение пользователя доступа к ESXi	Данное правило предназначено для выявления случаев удаления локальной учетной записи или ее прав доступа на гипервизорах VMware ESXi через веб-интерфейс (GUI). Такая активность может свидетельствовать о попытке атакующего закрепиться в инфраструктуре и устранить доступ легитимных администраторов, чтобы предотвратить вмешательство в дальнейшие вредоносные действия, например, шифрование виртуальных машин.	Impact (TA0040) Account Access Removal (T1531)
RV-D-1206	Остановка критичного сервиса ESXi	При наличии прав на выполнение команд на сервере ESXi атакующий может использовать бинарный файл для остановки критичной службы vpxa, что блокирует возможность управления сервером ESXi через сервер vCenter. Этот шаг может являться подготовительным этапом перед шифрованием ВМ, направленным на предотвращение вмешательства со стороны администраторов или специалистов по безопасности, обеспечивая атакующему возможность продолжить шифрование виртуальных машин без помех, как это делала вредоносная утилита MrAgent в атаках на ESXi. Данное правило направлено на выявление остановки службы vpxa путем отслеживания запуска команды через оболочку.	Impact (TA0040) Service Stop (T1489)
RV-D-1222	Изменение аудита виртуальной инфраструктуры	После получения доступа к виртуальной инфраструктуре атакующие могут изменить конфигурацию аудита, чтобы нарушить отправку событий или полностью отключить логирование системы.	Impact (TA0040) Data Destruction (T1485) Impair Defenses (T1562)

RV-D-981

Создание ssh-туннелей на ESXi

При наличии прав на выполнение команд на хосте атакующий может использовать SSH для организации обратного доступа или скрытого взаимодействия с внешними и внутренними ресурсами через SSH-туннели. Данное правило направлено на выявление создания SSH-туннелей на ESXi-серверах. Оно срабатывает при обнаружении выполнения SSH-команд с аргументами, указывающими на проброс портов -L, -R или -D. Такой подход позволяет зафиксировать попытки организации обхода сетевых политик, удаленного доступа или скрытого трафика в обход мониторинга. При срабатывании правила следует проверить, кто последний осуществлял подключение к серверу и уточнить у ответственных лиц легитимность активности. Также можно использовать команду ps -c | grep ssh для анализа активных процессов на сервере ESXi. Если в выводе содержится процесс SSH с подозрительной командой, рекомендуется немедленно завершить этот процесс и начать полноценное расследование в случае отсутствия обоснования для использования туннелей.

Execution (TA0002)
Command and Control (TA0011)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)
Proxy (T1090)
Protocol Tunneling (T1572)

RV-D-984

Использование утилит ESXi через CLI

Данное правило направлено на выявление использования административных утилит на серверах VMware ESXi. Эти утилиты включают команды, такие как vim-cmd, esxcli, esxcfg-advcfg и vmkfstools, которые могут использоваться для управления виртуализацией, пользователями и разрешениями, создания и удаления виртуальных машин, изменения настроек сети и других критичных операций на сервере ESXi. Использование этих утилит без соответствующего контекста может указывать на попытки злоупотреблений или несанкционированного доступа, особенно если действия выполняются через командную строку, а не через веб-панель управления. Правило срабатывает при обнаружении запуска указанных утилит с ключевыми параметрами get, set, kill, list, что позволяет зафиксировать попытки просмотра или изменения конфигурации, завершения процессов и других операций, влияющих на работу инфраструктуры виртуализации. При срабатывании правила необходимо проверить, кто последний выполнял команды на сервере, и уточнить у владельца УЗ легитимность действий. В случае подтверждения нелегитимной активности следует немедленно сменить пароль от УЗ администратора сервера.

Execution (TA0002)
Persistence (TA0003)
Defense Evasion (TA0005)
Discovery (TA0007)
Lateral Movement (TA0008)
Impact (TA0040)
System Network Configuration Discovery (T1016)
Remote System Discovery (T1018)
Remote Services (T1021)
SSH (T1021.004)
System Network Connections Discovery (T1049)
Process Discovery (T1057)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)
Hypervisor CLI (T1059.012)
Indicator Removal (T1070)
Clear Persistence (T1070.009)
System Information Discovery (T1082)
Account Discovery (T1087)
Local Account (T1087.001)
System Time Discovery (T1124)
Create Account (T1136)
Local Account (T1136.001)
Data Destruction (T1485)
Service Stop (T1489)
Inhibit System Recovery (T1490)
Server Software Component (T1505)
vSphere Installation Bundles (T1505.006)
Software Discovery (T1518)
System Shutdown/Reboot (T1529)
Account Access Removal (T1531)
Disk Wipe (T1561)
Impair Defenses (T1562)
Disable or Modify Tools (T1562.001)
Disable or Modify System Firewall (T1562.004)
Indicator Blocking (T1562.006)
Hide Artifacts (T1564)
Run Virtual Instance (T1564.006)
Modify Cloud Compute Infrastructure (T1578)
Create Snapshot (T1578.001)
Virtual Machine Discovery (T1673)

RV-D-1007

Использование chmod в ESXi через CLI

Использование команды chmod через оболочку ESXi может указывать на попытку изменить права доступа к критически важным файлам или сделать доставленные скрипты исполняемыми, как это наблюдалось в атаках группировки Nevada, направленных на шифрование виртуальных машин. Правило также отслеживает запуск chmod с ключом +w, который позволяет редактировать файлы, изначально недоступные для изменения, например crontab, что может привести к добавлению заданий, выполняющихся от имени root. При срабатывании правила необходимо определить инициатора команды, проверить ее легитимность и, при отсутствии разрешения, провести расследование, сменить пароль соответствующей учетной записи и отключить SSH-доступ, если он не используется для администрирования.

Execution (TA0002)
Defense Evasion (TA0005)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)
File and Directory Permissions Modification (T1222)
Linux and Mac File and Directory Permissions Modification (T1222.002)

RV-D-1030

Удаление или отключение логирования команд

Удаление или отключение логирования команд является распространенной техникой сокрытия активности, особенно на платформах без полноценного агентского мониторинга, таких как VMware ESXi. Установив переменную окружения HISTFILE в значение 0, /dev/null или удалив файл истории (например, /.ash_history), атакующий может предотвратить запись вводимых команд в рамках интерактивной сессии shell. Такое поведение часто наблюдается во вредоносных инструментах, включая бэкдоры, использующие эту технику для минимизации следов присутствия. Данное правило отслеживает команды, отключающие ведение истории команд. При срабатывании правила рекомендуется незамедлительно проверить активные shell-сессии на хосте, приостановить подозрительную активность, инициировать изоляцию системы (если это возможно), заблокировать или временно ограничить доступ для затронутой учетной записи. Если активность не подтверждена как легитимная, стоит сменить пароль от УЗ, которые имеют привилегии администратора.

Defense Evasion (TA0005)
Indicator Removal (T1070)
Clear Command History (T1070.003)
Impair Defenses (T1562)
Impair Command History Logging (T1562.003)

RV-D-1031

Изменение меток времени через touch

Атакующие могут изменять атрибуты времени файлов, чтобы скрыть новые файлы или изменения в существующих. Timestomping — это относительно простая, но эффективная техника сокрытия следов, активно применяемая в атакующих цепочках. На платформе ESXi она может быть реализована с использованием встроенной утилиты touch, которая может изменять значения atime и mtime, что и используется атакующими для сокрытия следов, для установки произвольных дат доступа и модификации файлов. При срабатывании правила рекомендуется незамедлительно проверить активные shell-сессии на хосте, приостановить подозрительную активность, инициировать изоляцию системы (если это возможно), заблокировать или временно ограничить доступ для затронутой учетной записи. Если активность не подтверждена как легитимная, стоит сменить пароль от УЗ, которые имеют привилегии администратора.

Defense Evasion (TA0005)
Indicator Removal (T1070)
Timestomp (T1070.006)

RV-D-1032

Маскировка через переименование/подмену index.html

Хосты VMware ESXi используют файл index.html в своем веб-интерфейсе для задач управления. Атакующие могут переименовывать этот файл, чтобы избежать обнаружения или заменить его вредоносной версией, что упрощает несанкционированный доступ или утечку данных. Данное правило на основе событий auditd отслеживает выполнение команд, которые могут привести к модификации или замене файла index.html. При срабатывании правила определите, какой пользователь или процесс выполнил действие, и проанализируйте журнал входов для выявления возможного несанкционированного доступа. При необходимости изолируйте хост и проверьте файлы на наличие признаков вредоносной активности.

Defense Evasion (TA0005)
Masquerading (T1036)
Match Legitimate Resource Name or Location (T1036.005)

RV-D-1033

Доступ к критичным файлам на сервере ESXi

Правило детектирует доступ к критичным файлам на сервере ESXi. К критичным файлам относятся /var/spool/cron/crontabs/root и /etc/rc.local.d/local.sh. Внося изменения в первый, атакующий может установить скрытые задачи, которые будут выполняться с повышенными правами, что позволяет обеспечить постоянный доступ или выполнение вредоносного кода. Второй файл используют для того, чтобы внедрить команды, автоматически исполняющиеся при загрузке системы, что также способствует сохранению контроля над системой. Данные действия могут указывать на активность шифровальщиков, которые ранее были замечены в атаках на ESXi. Подробнее в разделе reference. При срабатывании правила необходимо проверить, является ли доступ легитимным, если нет, то провести внутреннее расследование и временно ограничить доступ к серверам ESXi. Если возможно, отключите на сервере доступ по ssh и смените пароли от административных учетных записей.

Execution (TA0002)
Persistence (TA0003)
Boot or Logon Initialization Scripts (T1037)
RC Scripts (T1037.004)
Scheduled Task/Job (T1053)
Cron (T1053.003)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)

RV-D-1042

Использование find в ESXi

Использование команды find с ключом -exec позволяет выполнять команды для каждого найденного файла, что может быть использовано для запуска несанкционированных команд, таких как удаление файлов с расширением .log или поиск файлов, характерных для систем VMware ESXi, например, /etc/vmware/*, /usr/lib/vmware/*, /vmfs/*. Данное правило направлено на выявление использования команды find с параметром -exec или просто на поиск критичных для ESXi-файлов, что может быть признаком проведения разведки или подготовки к шифрованию виртуальной инфраструктуры и других вредоносных действий. При срабатывании этого правила рекомендуется проверить, что именно выполнялось через find -exec, либо для чего был осуществлен поиск файлов. Также установить, кто является инициатором действий. Если активность не является легитимной, следует сменить пароль администратора, отключить SSH на сервере и начать расследование.

Execution (TA0002)
Defense Evasion (TA0005)
Discovery (TA0007)
Collection (TA0009)
Data from Local System (T1005)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)
Indicator Removal (T1070)
File Deletion (T1070.004)
File and Directory Discovery (T1083)

RV-D-1043

Обнаружение уязвимой конфигурации ESXi

Правило предназначено для выявления потенциально уязвимой конфигурации на серверах VMware ESXi. Оно срабатывает в случаях, когда на узле запускается сервис slpd либо отключается встроенный межсетевой экран, что может свидетельствовать об изменении настроек безопасности. Особенно критичен запуск службы slpd, так как она ранее использовалась в атаках, связанных с уязвимостью CVE-2021-21974, которая позволяет выполнить удаленный код через компонент OpenSLP. Для успешной эксплуатации этой уязвимости необходимо, чтобы служба slpd была активна, а входящий трафик по порту 427 разрешен. Именно поэтому отключение межсетевого экрана также представляет опасность. Это может привести к открытию необходимого для атаки сетевого порта. При срабатывании правила необходимо определить, какое именно действие было выполнено — запуск slpd или отключение межсетевого экрана. Проверьте журнал событий ESXi и определите последнего пользователя, заходившего в систему. Уточните у него легитимность действий. Если активность оказалась нелегитимной, рекомендуется сменить пароль от учетной записи, с которой, вероятно, были внесены изменения, а также от всех учетных записей с привилегиями администратора или входящих в соответствующие группы.

Initial Access (TA0001)
Execution (TA0002)
Defense Evasion (TA0005)
Lateral Movement (TA0008)
Command and Scripting Interpreter (T1059)
Unix Shell (T1059.004)
Exploit Public-Facing Application (T1190)
Exploitation of Remote Services (T1210)
Impair Defenses (T1562)
Disable or Modify System Firewall (T1562.004)
System Services (T1569)

RV-D-1202

Лишение пользователя доступа к ESXi

Данное правило предназначено для выявления случаев удаления локальной учетной записи или ее прав доступа на гипервизорах VMware ESXi через веб-интерфейс (GUI). Такая активность может свидетельствовать о попытке атакующего закрепиться в инфраструктуре и устранить доступ легитимных администраторов, чтобы предотвратить вмешательство в дальнейшие вредоносные действия, например, шифрование виртуальных машин.

Impact (TA0040)
Account Access Removal (T1531)

RV-D-1206

Остановка критичного сервиса ESXi

При наличии прав на выполнение команд на сервере ESXi атакующий может использовать бинарный файл для остановки критичной службы vpxa, что блокирует возможность управления сервером ESXi через сервер vCenter. Этот шаг может являться подготовительным этапом перед шифрованием ВМ, направленным на предотвращение вмешательства со стороны администраторов или специалистов по безопасности, обеспечивая атакующему возможность продолжить шифрование виртуальных машин без помех, как это делала вредоносная утилита MrAgent в атаках на ESXi. Данное правило направлено на выявление остановки службы vpxa путем отслеживания запуска команды через оболочку.

Impact (TA0040)
Service Stop (T1489)

RV-D-1222

Изменение аудита виртуальной инфраструктуры

После получения доступа к виртуальной инфраструктуре атакующие могут изменить конфигурацию аудита, чтобы нарушить отправку событий или полностью отключить логирование системы.

Impact (TA0040)
Data Destruction (T1485)
Impair Defenses (T1562)

Была ли полезна эта страница?

Обратная связь