VMware vCenter Server: правила корреляции

Таблица содержит сведения о разработанных правилах корреляции, включая их краткое описание и перечень тактик и техник MITRE ATT&CK, которые они охватывают.

ID правила Название правила Описание Тактики и техники

ID правила	Название правила	Описание	Тактики и техники
RV-D-1000	Клонирование критичной виртуальной машины	После получения доступа к виртуальной инфраструктуре атакующие могут клонировать одну или несколько виртуальных машин, чтобы получить доступ к конфиденциальным данным, учетным записям пользователей, использовать их для дальнейшего перемещения по сети или закрепления в системе. При срабатывании данного правила необходимо проверить законность действий пользователя — уточнить, были ли они санкционированы. Если легитимность не подтверждается, следует временно заблокировать учетную запись и инициировать внутреннее расследование.	Persistence (TA0003) Privilege Escalation (TA0004) Credential Access (TA0006) OS Credential Dumping (T1003)
RV-D-1001	Клонирование критичных виртуальных машин	Получив доступ к виртуальной инфраструктуре, атакующие могут клонировать одну или несколько виртуальных машин с целью извлечения конфиденциальной информации, получения учетных данных для последующего горизонтального перемещения по сети или для устойчивого закрепления в инфраструктуре. При срабатывании правила следует установить легитимность выполняемых действий, связаться с ответственным за соответствующую учетную запись, при необходимости временно приостановить ее работу и инициировать внутреннее расследование.	Persistence (TA0003) Privilege Escalation (TA0004) Credential Access (TA0006) OS Credential Dumping (T1003)
RV-D-1035	Эксплуатация уязвимости CVE-2021-22005 на сервере vCenter	Правило детектирует эксплуатацию уязвимости CVE-2021-22005 на сервере vCenter, уязвимые версии указаны в reference. Уязвимость позволяет неавторизованным пользователям загружать произвольные данные на сервер через обращения по адресам, относящимся к сбору аналитики и телеметрии. Эксплуатацию можно провести с выключенным CEIP (Customer Experience Improvement Program). В случае подтверждения инцидента рекомендуется проверить места возможного размещения web-shell, нелегитимные запланированные задачи cron или другие методы закрепления в системе, обновить уязвимую версию vCenter или принять меры по закрытию доступа к уязвимым адресам.	Initial Access (TA0001) Execution (TA0002) Lateral Movement (TA0008) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203) Exploitation of Remote Services (T1210)
RV-D-1036	Эксплуатация уязвимости CVE-2021-21972 на сервере vCenter	Правило детектирует эксплуатацию уязвимости CVE-2021-21972 на сервере vCenter, уязвимые версии указаны в reference. Данная уязвимость позволяет загружать неавторизованному пользователю произвольные данные на сервер через POST-запрос на адрес `/ui/vropspluginui/rest/services/uploadova`. Файл будет загружен от пользователя vsphere-ui. Таким образом, можно, например, загрузить свой ключ SSH на сервер vCenter для данного пользователя и подключиться к серверу по ключу. В случае подтверждения инцидента рекомендуется проверить места возможного размещения web-shell, нелегитимные запланированные задачи cron или другие методы закрепления в системе, обновить уязвимую версию vCenter или принять меры по закрытию доступа к уязвимым адресам.	Initial Access (TA0001) Execution (TA0002) Lateral Movement (TA0008) Command and Control (TA0011) Application Layer Protocol (T1071) Web Protocols (T1071.001) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203) Exploitation of Remote Services (T1210)
RV-D-1037	Доступ к критичным файлам на сервере vCenter	Правило детектирует доступ к критичным файлам на сервере vCenter. Данные действия могут указывать на попытку эксплуатацию уязвимости CVE-2022-22948, уязвимые версии указаны в reference. Уязвимость позволяет получить учетные данные для подключения к хостам ESXi с привилегиями пользователя vpxuser. Также отслеживаются изменения файлов `/var/spool/cron/crontabs/root` и `/etc/rc.local.d/local.sh`, которые были замечены в атаках на ESXi. Внося изменения в первый файл, атакующий может установить скрытые задачи, которые будут выполняться с повышенными правами, что позволяет обеспечить постоянный доступ или выполнение вредоносного кода. Второй файл используют для того, чтобы внедрить команды, автоматически исполняющиеся при загрузке системы, что также способствует сохранению контроля над системой. В случае срабатывания правила рекомендуется проверить, является ли доступ к файлу, содержащему ключ (symkey.dat) для пароля vpxuser или пароль (vcdb.properties) для подключения к базе данных PostgreSQL, легитимным, если нет, то провести внутреннее расследование и временно ограничить доступ к серверам ESXi и vCenter.	Initial Access (TA0001) Execution (TA0002) Persistence (TA0003) Credential Access (TA0006) Lateral Movement (TA0008) Boot or Logon Initialization Scripts (T1037) RC Scripts (T1037.004) Scheduled Task/Job (T1053) Cron (T1053.003) Valid Accounts (T1078) Default Accounts (T1078.001) Brute Force (T1110) Password Cracking (T1110.002) Exploit Public-Facing Application (T1190) Exploitation for Client Execution (T1203) Exploitation of Remote Services (T1210) Exploitation for Credential Access (T1212) Credentials from Password Stores (T1555)
RV-D-1130	Создание снапшота ВМ в vCenter	Атакующий может создать снапшот или резервную копию данных в облачной учетной записи, чтобы обойти защиту. Снапшот — это копия компонента облачной среды, такого как виртуальная машина (ВМ), виртуальный жесткий диск или том, по состоянию на определенный момент времени. Атакующий может воспользоваться полученными разрешениями, чтобы создать снапшот и обойти ограничения на доступ к существующей вычислительной инфраструктуре. Далее создать облачный экземпляр, смонтировать в нем один или несколько заготовленных снапшотов, а затем применить политику, которая предоставит доступ к экземпляру, например, политику межсетевого экрана, разрешающую входящий и исходящий доступ по SSH.	Defense Evasion (TA0005) Modify Cloud Compute Infrastructure (T1578) Create Snapshot (T1578.001)

RV-D-1000

Клонирование критичной виртуальной машины

После получения доступа к виртуальной инфраструктуре атакующие могут клонировать одну или несколько виртуальных машин, чтобы получить доступ к конфиденциальным данным, учетным записям пользователей, использовать их для дальнейшего перемещения по сети или закрепления в системе. При срабатывании данного правила необходимо проверить законность действий пользователя — уточнить, были ли они санкционированы. Если легитимность не подтверждается, следует временно заблокировать учетную запись и инициировать внутреннее расследование.

Persistence (TA0003)
Privilege Escalation (TA0004)
Credential Access (TA0006)
OS Credential Dumping (T1003)

RV-D-1001

Клонирование критичных виртуальных машин

Получив доступ к виртуальной инфраструктуре, атакующие могут клонировать одну или несколько виртуальных машин с целью извлечения конфиденциальной информации, получения учетных данных для последующего горизонтального перемещения по сети или для устойчивого закрепления в инфраструктуре. При срабатывании правила следует установить легитимность выполняемых действий, связаться с ответственным за соответствующую учетную запись, при необходимости временно приостановить ее работу и инициировать внутреннее расследование.

Persistence (TA0003)
Privilege Escalation (TA0004)
Credential Access (TA0006)
OS Credential Dumping (T1003)

RV-D-1035

Эксплуатация уязвимости CVE-2021-22005 на сервере vCenter

Правило детектирует эксплуатацию уязвимости CVE-2021-22005 на сервере vCenter, уязвимые версии указаны в reference. Уязвимость позволяет неавторизованным пользователям загружать произвольные данные на сервер через обращения по адресам, относящимся к сбору аналитики и телеметрии. Эксплуатацию можно провести с выключенным CEIP (Customer Experience Improvement Program). В случае подтверждения инцидента рекомендуется проверить места возможного размещения web-shell, нелегитимные запланированные задачи cron или другие методы закрепления в системе, обновить уязвимую версию vCenter или принять меры по закрытию доступа к уязвимым адресам.

Initial Access (TA0001)
Execution (TA0002)
Lateral Movement (TA0008)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)
Exploitation of Remote Services (T1210)

RV-D-1036

Эксплуатация уязвимости CVE-2021-21972 на сервере vCenter

Правило детектирует эксплуатацию уязвимости CVE-2021-21972 на сервере vCenter, уязвимые версии указаны в reference. Данная уязвимость позволяет загружать неавторизованному пользователю произвольные данные на сервер через POST-запрос на адрес /ui/vropspluginui/rest/services/uploadova. Файл будет загружен от пользователя vsphere-ui. Таким образом, можно, например, загрузить свой ключ SSH на сервер vCenter для данного пользователя и подключиться к серверу по ключу. В случае подтверждения инцидента рекомендуется проверить места возможного размещения web-shell, нелегитимные запланированные задачи cron или другие методы закрепления в системе, обновить уязвимую версию vCenter или принять меры по закрытию доступа к уязвимым адресам.

Initial Access (TA0001)
Execution (TA0002)
Lateral Movement (TA0008)
Command and Control (TA0011)
Application Layer Protocol (T1071)
Web Protocols (T1071.001)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)
Exploitation of Remote Services (T1210)

RV-D-1037

Доступ к критичным файлам на сервере vCenter

Правило детектирует доступ к критичным файлам на сервере vCenter. Данные действия могут указывать на попытку эксплуатацию уязвимости CVE-2022-22948, уязвимые версии указаны в reference. Уязвимость позволяет получить учетные данные для подключения к хостам ESXi с привилегиями пользователя vpxuser. Также отслеживаются изменения файлов /var/spool/cron/crontabs/root и /etc/rc.local.d/local.sh, которые были замечены в атаках на ESXi. Внося изменения в первый файл, атакующий может установить скрытые задачи, которые будут выполняться с повышенными правами, что позволяет обеспечить постоянный доступ или выполнение вредоносного кода. Второй файл используют для того, чтобы внедрить команды, автоматически исполняющиеся при загрузке системы, что также способствует сохранению контроля над системой. В случае срабатывания правила рекомендуется проверить, является ли доступ к файлу, содержащему ключ (symkey.dat) для пароля vpxuser или пароль (vcdb.properties) для подключения к базе данных PostgreSQL, легитимным, если нет, то провести внутреннее расследование и временно ограничить доступ к серверам ESXi и vCenter.

Initial Access (TA0001)
Execution (TA0002)
Persistence (TA0003)
Credential Access (TA0006)
Lateral Movement (TA0008)
Boot or Logon Initialization Scripts (T1037)
RC Scripts (T1037.004)
Scheduled Task/Job (T1053)
Cron (T1053.003)
Valid Accounts (T1078)
Default Accounts (T1078.001)
Brute Force (T1110)
Password Cracking (T1110.002)
Exploit Public-Facing Application (T1190)
Exploitation for Client Execution (T1203)
Exploitation of Remote Services (T1210)
Exploitation for Credential Access (T1212)
Credentials from Password Stores (T1555)

RV-D-1130

Создание снапшота ВМ в vCenter

Атакующий может создать снапшот или резервную копию данных в облачной учетной записи, чтобы обойти защиту. Снапшот — это копия компонента облачной среды, такого как виртуальная машина (ВМ), виртуальный жесткий диск или том, по состоянию на определенный момент времени. Атакующий может воспользоваться полученными разрешениями, чтобы создать снапшот и обойти ограничения на доступ к существующей вычислительной инфраструктуре. Далее создать облачный экземпляр, смонтировать в нем один или несколько заготовленных снапшотов, а затем применить политику, которая предоставит доступ к экземпляру, например, политику межсетевого экрана, разрешающую входящий и исходящий доступ по SSH.

Defense Evasion (TA0005)
Modify Cloud Compute Infrastructure (T1578)
Create Snapshot (T1578.001)

Была ли полезна эта страница?