HackTricksVMware ESX / vCenter Pentesting
Tip
AWS 해킹 배우기 및 연습하기:
HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
Enumeration
nmap -sV --script "http-vmware-path-vuln or vmware-version" -p <PORT> <IP>
msf> use auxiliary/scanner/vmware/esx_fingerprint
msf> use auxiliary/scanner/http/ms15_034_http_sys_memory_dump
Bruteforce
msf> auxiliary/scanner/vmware/vmware_http_login
If you find valid credentials, you can use more metasploit scanner modules to obtain information.
ESXi Post-Exploitation & Ransomware Operations
Attack Workflow inside Virtual Estates
- Develop: 경량 관리 에이전트(예: MrAgent), encryptor(예: Mario), 그리고 leak 인프라를 유지합니다.
- Infiltrate: vSphere management를 침해하고, 호스트를 열거(enumerate), 데이터를 탈취하고, 페이로드를 스테이징합니다.
- Deploy: 각 ESXi 호스트에 에이전트를 푸시하고, 이들이 C2를 폴링하도록 둔 다음 지시가 내려지면 encryptor를 가져옵니다.
- Extort: 암호화가 확인되면 proof-of-compromise 데이터를 leak하고 ransom chats를 진행합니다.
Hypervisor Takeover Primitives
Once command execution on an ESXi console/SSH session is obtained, attackers typically run the following management commands to fingerprint and isolate the host before ransomware deployment:
uname -a # hostname / build metadata for tracking
esxcli --formatter=csv network nic list # adapter + MAC inventory
esxcli --formatter=csv network ip interface ipv4 get
esxcli network firewall set --enabled false
/etc/init.d/vpxa stop # cut vCenter off from the host
passwd root # rotate credentials under attacker control
동일한 에이전트는 보통 하드코드된 C2 URI를 폴링하는 영구 루프를 유지합니다. 도달 불가능한 상태가 발생하면 재시도를 트리거하므로, 운영자가 명령을 내릴 때까지 비콘은 계속 활성 상태를 유지합니다.
MrAgent-Style Instruction Channel
경량 관리 에이전트는 C2 큐에서 파싱된 간결한 명령 집합을 노출합니다. 해당 집합만으로도 대화형 셸 없이 수십 대의 침해된 하이퍼바이저를 운영할 수 있습니다:
| Instruction | Effect |
|---|---|
Config | 대상 디렉터리, 실행 지연 또는 스로틀링을 정의하는 로컬 JSON 구성을 덮어써서 바이너리를 재배포하지 않고도 즉시 작업을 재지정할 수 있습니다. |
Info | uname/esxcli 프로브로 수집한 하이퍼바이저 빌드 정보, IP 및 어댑터 메타데이터를 반환합니다. |
Exec | 랜섬웨어 단계 시작: root 자격 증명을 변경하고 vpxa를 중지하며, 선택적으로 재부팅 지연을 예약한 후 암호화기를 pull+execute 합니다. |
Run | 임의의 C2 제공 명령을 ./shmv로 기록하고 chmod +x 한 뒤 실행하여 원격 셸을 구현합니다. |
Remove | 도구 정리나 파괴적 삭제를 위해 rm -rf <path>를 실행합니다. |
Abort / Abort_f | 운영자가 재부팅 후 동작을 일시 중지하려는 경우 대기 중인 암호화 작업을 중단하거나 실행 중인 워커 스레드를 종료합니다. |
Quit | 에이전트를 종료하고 빠른 자기 제거를 위해 바이너리를 rm -f 합니다. |
Welcome | 콘솔 배너에 몸값 공지를 표시하기 위해 esxcli system welcomemesg set -m="text"를 악용합니다. |
내부적으로 이들 에이전트는 경쟁 상태로부터 공유 상태를 보호하기 위해 두 개의 mutex로 보호된 JSON 블롭(런타임 구성 + 상태/텔레메트리)을 유지합니다. 샘플에는 피상적 정적 분석을 지연시키기 위해 정크 코드가 채워져 있는 경우가 흔하지만 핵심 루틴은 그대로 유지됩니다.
Virtualization & Backup-Aware Targeting
Mario류 암호화기는 운영자가 제공한 디렉터리 루트만 순회하며 비즈니스 연속성에 영향을 주는 가상화 관련 산출물만 건드립니다:
| Extension | Target |
|---|---|
vmdk, vmem, vmsd, vmsn, vswp | VM 디스크, 메모리 스냅샷 및 스왑 백킹 파일. |
ova, ovf | 휴대용 VM 어플라이언스 번들/메타데이터. |
vib | 복구/패치 적용을 방해할 수 있는 ESXi 설치 번들. |
vbk, vbm | 온박스 복원 방해를 위한 Veeam VM 백업 및 메타데이터. |
운영적 특이사항:
- 방문한 모든 디렉터리에는 암호화 전에 항상 “How To Restore Your Files.txt“를 배치하여 분리된 호스트에서도 몸값 연락처가 표시되도록 합니다.
- 이미 처리된 파일은 이름에
.emario,.marion,.lmario,.nmario,.mmario또는.wmario가 포함되어 있으면 건너뛰어, 공격자의 복호화 도구를 파괴할 수 있는 이중 암호화를 방지합니다. - 암호화된 페이로드는 원격 콘솔이나 datastore 목록에서 범위를 확인할 수 있도록
*.mario스타일 접미사(일반적으로.emario)로 이름이 변경됩니다.
Layered Encryption Upgrades
최근 Mario 빌드는 원래의 선형 단일 키 루틴을 대용량 VMDK에 최적화된 희소 다중 키 설계로 교체했습니다:
- 키 스케줄: 32바이트 기본 키(대체로
var_1150주변에 저장)와 독립된 8바이트 보조 키(var_20)를 생성합니다. 데이터는 먼저 기본 컨텍스트로 변환된 다음 디스크 쓰기 전에 보조 키로 다시 혼합됩니다. - 파일별 헤더: 메타데이터 버퍼(예:
var_40)는 청크 맵과 플래그를 추적하여 공격자의 개인 복호기가 희소 레이아웃을 재구성할 수 있게 합니다. - 동적 청킹: 일정한
0xA00000루프 대신 청크 크기와 오프셋이 파일 크기에 따라 재계산되며, 임계값은 현대 VM 이미지에 맞춰 약 8GB까지 확장됩니다. - 희소 커버리지: 전략적으로 선택된 영역만 건드려 런타임을 급격히 줄이면서도 VMFS 메타데이터, 게스트 내 NTFS/EXT4 구조 또는 백업 인덱스를 손상시킵니다.
- 계측: 업그레이드된 빌드는 청크별 바이트 수와 합계(암호화됨/건너뜀/실패)를 stdout으로 기록하여 별도 도구 없이도 라이브 침투 중 제휴자에게 텔레메트리를 제공합니다.
See also
Linux LPE via VMware Tools service discovery (CWE-426 / CVE-2025-41244):
Vmware Tools Service Discovery Untrusted Search Path Cve 2025 41244
References
Tip
AWS 해킹 배우기 및 연습하기:
GCP 해킹 배우기 및 연습하기:HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.