L’ANSSI présentait à la Coriin2022 un outil d’analyse forensique permettant de collecter des journaux et artéfacts forensique sur un environnement vSphere.
VMware vSphere est une solution de virtualisation composée d’hyperviseurs de type 1 (ESXi) et d’une console de gestion centralisée (VCenter).
Le module PowerShell DFIR4vSphere qui a été publié à l’occasion de la conférence sur le Github de l’agence est composé de deux fonctions de collecte :
- Start-VC_Investigation récupère l’inventaire des ESXi rattachés au VCenter, les permissions positionnées sur la console et les journaux contenant les appels d’API vSphere réalisés (VI Events).
- Start-ESXi_Investigation collecte des informations et bundles de support des hôtes ESXi.
Grâce à l’analyse de ces deux sources d’information, l’analyste forensique disposera des collectes nécessaires pour caractériser une activité malveillante sur la plateforme de virtualisation.
La présentation visait à montrer comment les opérateurs de rançongiciels ciblent les infrastructures vSphere afin de maximiser les dégâts occasionnés. De plus elle avait pour but de décrire comment certains groupes d’espionnage utilisent cette plateforme pour maintenir leur accès, se latéraliser et exfiltrer des données sur un système d’information en contournant les moyens de blocage et de détection classiques mis en place au niveau des machines virtuelles.
Une description de ces diverses techniques, tactiques et procédures est donnée via la description de deux scénarios d’attaque qui pourront permettre de construire des règles de détection propres à l’environnement vSphere.
Les planches de la présentation sont disponibles ici.
Rappel des avis émis
Dans la période du 13 au 19 juin 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-539 : Multiples vulnérabilités dans IBM DB2
- CERTFR-2022-AVI-540 : Vulnérabilité dans Ruby on Rails
- CERTFR-2022-AVI-541 : Multiples vulnérabilités dans Drupal Core
- CERTFR-2022-AVI-542 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2022-AVI-543 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-544 : Multiples vulnérabilités dans IBM Netcool Operations Insight
- CERTFR-2022-AVI-545 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-546 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2022-AVI-547 : Multiples vulnérabilités dans les produits Siemens
- CERTFR-2022-AVI-548 : Multiples vulnérabilités dans les produits Splunk
- CERTFR-2022-AVI-549 : Multiples vulnérabilités dans TYPO3
- CERTFR-2022-AVI-550 : Multiples vulnérabilités dans VMware ESXi
- CERTFR-2022-AVI-551 : Multiples vulnérabilités dans Zimbra
- CERTFR-2022-AVI-552 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2022-AVI-553 : Multiples vulnérabilités dans Citrix ADM
- CERTFR-2022-AVI-554 : Multiples vulnérabilités dans Xen
- CERTFR-2022-AVI-555 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-556 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2022-AVI-557 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-558 : Vulnérabilité dans Microsoft .Net
- CERTFR-2022-AVI-559 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-560 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-561 : Multiples vulnérabilités dans IBM HTTP Server
- CERTFR-2022-AVI-562 : Vulnérabilité dans VMware HCX
- CERTFR-2022-AVI-563 : Vulnérabilité dans VMware Spring Cloud Function
- CERTFR-2022-AVI-564 : Multiples vulnérabilités dans Tenable Nessus Agent
- CERTFR-2022-AVI-565 : Multiples vulnérabilités dans Google ChromeOS
- CERTFR-2022-AVI-566 : Multiples vulnérabilités dans le noyau Linux de Ubuntu
- CERTFR-2022-AVI-567 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-568 : Multiples vulnérabilités dans les produits IBM