VMware ESX / vCenter Pentesting

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Enumeration

nmap -sV --script "http-vmware-path-vuln or vmware-version" -p <PORT> <IP>
msf> use auxiliary/scanner/vmware/esx_fingerprint
msf> use auxiliary/scanner/http/ms15_034_http_sys_memory_dump

Bruteforce

msf> auxiliary/scanner/vmware/vmware_http_login

If you find valid credentials, you can use more metasploit scanner modules to obtain information.

ESXi Post-Exploitation & Ransomware Operations

Attack Workflow inside Virtual Estates

• Develop: 경량 관리 에이전트(예: MrAgent), encryptor(예: Mario), 그리고 leak 인프라를 유지합니다.
• Infiltrate: vSphere management를 침해하고, 호스트를 열거(enumerate), 데이터를 탈취하고, 페이로드를 스테이징합니다.
• Deploy: 각 ESXi 호스트에 에이전트를 푸시하고, 이들이 C2를 폴링하도록 둔 다음 지시가 내려지면 encryptor를 가져옵니다.
• Extort: 암호화가 확인되면 proof-of-compromise 데이터를 leak하고 ransom chats를 진행합니다.

Hypervisor Takeover Primitives

Once command execution on an ESXi console/SSH session is obtained, attackers typically run the following management commands to fingerprint and isolate the host before ransomware deployment:

uname -a                                   # hostname / build metadata for tracking
esxcli --formatter=csv network nic list    # adapter + MAC inventory
esxcli --formatter=csv network ip interface ipv4 get
esxcli network firewall set --enabled false
/etc/init.d/vpxa stop                      # cut vCenter off from the host
passwd root                                # rotate credentials under attacker control

동일한 에이전트는 보통 하드코드된 C2 URI를 폴링하는 영구 루프를 유지합니다. 도달 불가능한 상태가 발생하면 재시도를 트리거하므로, 운영자가 명령을 내릴 때까지 비콘은 계속 활성 상태를 유지합니다.

MrAgent-Style Instruction Channel

경량 관리 에이전트는 C2 큐에서 파싱된 간결한 명령 집합을 노출합니다. 해당 집합만으로도 대화형 셸 없이 수십 대의 침해된 하이퍼바이저를 운영할 수 있습니다:

내부적으로 이들 에이전트는 경쟁 상태로부터 공유 상태를 보호하기 위해 두 개의 mutex로 보호된 JSON 블롭(런타임 구성 + 상태/텔레메트리)을 유지합니다. 샘플에는 피상적 정적 분석을 지연시키기 위해 정크 코드가 채워져 있는 경우가 흔하지만 핵심 루틴은 그대로 유지됩니다.

Virtualization & Backup-Aware Targeting

Mario류 암호화기는 운영자가 제공한 디렉터리 루트만 순회하며 비즈니스 연속성에 영향을 주는 가상화 관련 산출물만 건드립니다:

운영적 특이사항:

• 방문한 모든 디렉터리에는 암호화 전에 항상 “How To Restore Your Files.txt“를 배치하여 분리된 호스트에서도 몸값 연락처가 표시되도록 합니다.
• 이미 처리된 파일은 이름에 .emario, .marion, .lmario, .nmario, .mmario 또는 .wmario가 포함되어 있으면 건너뛰어, 공격자의 복호화 도구를 파괴할 수 있는 이중 암호화를 방지합니다.
• 암호화된 페이로드는 원격 콘솔이나 datastore 목록에서 범위를 확인할 수 있도록 *.mario 스타일 접미사(일반적으로 .emario)로 이름이 변경됩니다.

Layered Encryption Upgrades

최근 Mario 빌드는 원래의 선형 단일 키 루틴을 대용량 VMDK에 최적화된 희소 다중 키 설계로 교체했습니다:

• 키 스케줄: 32바이트 기본 키(대체로 var_1150 주변에 저장)와 독립된 8바이트 보조 키(var_20)를 생성합니다. 데이터는 먼저 기본 컨텍스트로 변환된 다음 디스크 쓰기 전에 보조 키로 다시 혼합됩니다.
• 파일별 헤더: 메타데이터 버퍼(예: var_40)는 청크 맵과 플래그를 추적하여 공격자의 개인 복호기가 희소 레이아웃을 재구성할 수 있게 합니다.
• 동적 청킹: 일정한 0xA00000 루프 대신 청크 크기와 오프셋이 파일 크기에 따라 재계산되며, 임계값은 현대 VM 이미지에 맞춰 약 8GB까지 확장됩니다.
• 희소 커버리지: 전략적으로 선택된 영역만 건드려 런타임을 급격히 줄이면서도 VMFS 메타데이터, 게스트 내 NTFS/EXT4 구조 또는 백업 인덱스를 손상시킵니다.
• 계측: 업그레이드된 빌드는 청크별 바이트 수와 합계(암호화됨/건너뜀/실패)를 stdout으로 기록하여 별도 도구 없이도 라이브 침투 중 제휴자에게 텔레메트리를 제공합니다.

See also

Linux LPE via VMware Tools service discovery (CWE-426 / CVE-2025-41244):

Vmware Tools Service Discovery Untrusted Search Path Cve 2025 41244

References

• Unit 42 – From Linear to Complex: An Upgrade in RansomHouse Encryption

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.