L’ANSSI présentait à la Coriin2022 un outil d’analyse forensique permettant de collecter des journaux et artéfacts forensique sur un environnement vSphere.

VMware vSphere est une solution de virtualisation composée d’hyperviseurs de type 1 (ESXi) et d’une console de gestion centralisée (VCenter).

Le module PowerShell DFIR4vSphere qui a été publié à l’occasion de la conférence sur le Github de l’agence est composé de deux fonctions de collecte :

  • Start-VC_Investigation récupère l’inventaire des ESXi rattachés au VCenter, les permissions positionnées sur la console et les journaux contenant les appels d’API vSphere réalisés (VI Events).
  • Start-ESXi_Investigation collecte des informations et bundles de support des hôtes ESXi.

Grâce à l’analyse de ces deux sources d’information, l’analyste forensique disposera des collectes nécessaires pour caractériser une activité malveillante sur la plateforme de virtualisation.

La présentation visait à montrer comment les opérateurs de rançongiciels ciblent les infrastructures vSphere afin de maximiser les dégâts occasionnés. De plus elle avait pour but de décrire comment certains groupes d’espionnage utilisent cette plateforme pour maintenir leur accès, se latéraliser et exfiltrer des données sur un système d’information en contournant les moyens de blocage et de détection classiques mis en place au niveau des machines virtuelles.

Une description de ces diverses techniques, tactiques et procédures est donnée via la description de deux scénarios d’attaque qui pourront permettre de construire des règles de détection propres à l’environnement vSphere.

Les planches de la présentation sont disponibles ici.

Rappel des avis émis

Dans la période du 13 au 19 juin 2022, le CERT-FR a émis les publications suivantes :