VMware ESX / vCenter Pentesting

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!

Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.

Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Καταγραφή

nmap -sV --script "http-vmware-path-vuln or vmware-version" -p <PORT> <IP>
msf> use auxiliary/scanner/vmware/esx_fingerprint
msf> use auxiliary/scanner/http/ms15_034_http_sys_memory_dump

Bruteforce

msf> auxiliary/scanner/vmware/vmware_http_login

Αν βρείτε έγκυρα credentials, μπορείτε να χρησιμοποιήσετε περισσότερα metasploit scanner modules για να αποκτήσετε πληροφορίες.

ESXi Post-Exploitation & Ransomware Operations

Ροή Επίθεσης σε Εικονικά Περιβάλλοντα

Develop: διατηρήστε έναν ελαφρύ πράκτορα διαχείρισης (π.χ., MrAgent), ένα encryptor (π.χ., Mario) και υποδομή leak.
Infiltrate: παραβιάστε τη διαχείριση vSphere, εντοπίστε hosts, κλέψτε δεδομένα και προετοιμάστε payloads.
Deploy: αναπτύξτε agents σε κάθε ESXi host, αφήστε τους να κάνουν poll το C2, και να κατεβάσουν το encryptor όταν δοθεί εντολή.
Extort: leak δεδομένα proof-of-compromise και τρέξτε ransom chats μόλις επιβεβαιωθεί η κρυπτογράφηση.

Πρωτόκολλα Ανάληψης Hypervisor

Μόλις αποκτηθεί εκτέλεση εντολών σε κονσόλα ESXi/SSH session, οι επιτιθέμενοι συνήθως εκτελούν τις ακόλουθες εντολές διαχείρισης για να fingerprint και να απομονώσουν τον host πριν την ανάπτυξη του ransomware:

uname -a                                   # hostname / build metadata for tracking
esxcli --formatter=csv network nic list    # adapter + MAC inventory
esxcli --formatter=csv network ip interface ipv4 get
esxcli network firewall set --enabled false
/etc/init.d/vpxa stop                      # cut vCenter off from the host
passwd root                                # rotate credentials under attacker control

Ο ίδιος agent συνήθως διατηρεί έναν επίμονο βρόχο που κάνει polling ενός προκαθορισμένου C2 URI. Οποιοδήποτε unreachable status ενεργοποιεί επαναπροσπάθειες, πράγμα που σημαίνει ότι το beacon παραμένει ενεργό μέχρι οι operators να στείλουν οδηγίες.

MrAgent-Style Κανάλι Οδηγιών

Ελαφριοί management agents εκθέτουν ένα σύντομο σύνολο οδηγιών που αναλύονται από την C2 queue. Αυτό το σύνολο είναι ικανό να διαχειριστεί δεκάδες compromised hypervisors χωρίς interactive shells:

Instruction	Effect
`Config`	Overwrite the local JSON config that defines target directories, execution delays or throttling, enabling hot re-tasking without redeploying binaries.
`Info`	Return hypervisor build info, IPs and adapter metadata gathered with the `uname`/`esxcli` probes.
`Exec`	Kick off the ransomware phase: change `root` credentials, stop `vpxa`, optionally schedule a reboot delay and then pull+execute the encryptor.
`Run`	Implement a remote shell by writing arbitrary C2-provided commands to `./shmv`, chmod +x and execute it.
`Remove`	Issue `rm -rf <path>` for tool clean-up or destructive wiping.
`Abort` / `Abort_f`	Stop queued encryptions or kill running worker threads if the operator wants to pause post-reboot actions.
`Quit`	Terminate the agent and `rm -f` its binary for fast self-removal.
`Welcome`	Abuse `esxcli system welcomemesg set -m="text"` to display ransom notices right in the console banner.

Εσωτερικά αυτοί οι agents κρατούν δύο mutex-protected JSON blobs (runtime config + status/telemetry) ώστε concurrent threads (π.χ. beaconing + encryption workers) να μην διαφθείρουν το shared state. Τα δείγματα συχνά γεμίζονται με junk code για να επιβραδύνουν την επιφανειακή static analysis αλλά οι βασικές ρουτίνες παραμένουν ανέπαφες.

Virtualization & Backup-Aware Targeting

Mario-like encryptors διασχίζουν μόνο τα operator-supplied directory roots και αγγίζουν virtualization artefacts που έχουν σημασία για την επιχειρησιακή συνέχεια:

Extension	Target
`vmdk`, `vmem`, `vmsd`, `vmsn`, `vswp`	VM disks, memory snapshots and swap backing files.
`ova`, `ovf`	Portable VM appliance bundles/metadata.
`vib`	ESXi installation bundles that can block remediation/patching.
`vbk`, `vbm`	Veeam VM backups + metadata to sabotage on-box restores.

Λειτουργικά quirks:

Κάθε επισκεφθείς directory λαμβάνει ένα How To Restore Your Files.txt πριν την κρυπτογράφηση ώστε τα κανάλια λύτρων να διαφημίζονται ακόμα και σε disconnected hosts.
Τα ήδη επεξεργασμένα αρχεία παραλείπονται όταν τα ονόματά τους περιέχουν .emario, .marion, .lmario, .nmario, .mmario ή .wmario, αποτρέποντας το double encryption που θα έσπαγε τον attackers’ decryptor.
Τα κρυπτογραφημένα payloads μετονομάζονται με ένα *.mario-style επίθημα (συνήθως .emario) ώστε οι operators να μπορούν να επαληθεύσουν την κάλυψη απομακρυσμένα σε κονσόλες ή καταλόγους datastore.

Layered Encryption Upgrades

Πρόσφατες builds του Mario αντικαθιστούν την αρχική linear, single-key ρουτίνα με έναν sparse, multi-key σχεδιασμό βελτιστοποιημένο για multi-hundred-gigabyte VMDKs:

Key schedule: Generate a 32-byte primary key (stored around var_1150) and an independent 8-byte secondary key (var_20). Data is first transformed with the primary context and then re-mixed with the secondary key before disk writes.
Per-file headers: Metadata buffers (e.g. var_40) track chunk maps and flags so the attackers’ private decryptor can reconstruct the sparse layout.
Dynamic chunking: Instead of a constant 0xA00000 loop, chunk size and offsets are recomputed based on file size, with thresholds extended up to ~8 GB to match modern VM images.
Sparse coverage: Only strategically chosen regions are touched, dramatically reducing runtime while still corrupting VMFS metadata, NTFS/EXT4 structures inside the guest or backup indexes.
Instrumentation: Upgraded builds log per-chunk byte counts and totals (encrypted/skipped/failed) to stdout, giving affiliates telemetry during live intrusions without extra tooling.

References

Unit 42 – From Linear to Complex: An Upgrade in RansomHouse Encryption

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!

Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.

Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.