VMware ESX / vCenter Pentesting

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Enumeration

nmap -sV --script "http-vmware-path-vuln or vmware-version" -p <PORT> <IP>
msf> use auxiliary/scanner/vmware/esx_fingerprint
msf> use auxiliary/scanner/http/ms15_034_http_sys_memory_dump

Bruteforce

msf> auxiliary/scanner/vmware/vmware_http_login

Якщо ви знайдете дійсні облікові дані, ви можете використовувати додаткові metasploit scanner modules для отримання інформації.

ESXi Post-Exploitation & Ransomware Operations

Attack Workflow inside Virtual Estates

  • Develop: підтримувати легкий management agent (e.g., MrAgent), encryptor (e.g., Mario), та інфраструктуру для leak.
  • Infiltrate: компрометувати vSphere management, перерахувати hosts, викрасти дані та підготувати payloads.
  • Deploy: розгорнути agents на кожен ESXi host, дозволити їм опитувати C2 і завантажувати encryptor за командою.
  • Extort: leak proof-of-compromise дані та проводити ransom chats після підтвердження encryption.

Hypervisor Takeover Primitives

Після отримання виконання команд у консолі ESXi/SSH-сесії зловмисники зазвичай виконують наступні management commands, щоб fingerprint та ізолювати host перед розгортанням ransomware:

uname -a                                   # hostname / build metadata for tracking
esxcli --formatter=csv network nic list    # adapter + MAC inventory
esxcli --formatter=csv network ip interface ipv4 get
esxcli network firewall set --enabled false
/etc/init.d/vpxa stop                      # cut vCenter off from the host
passwd root                                # rotate credentials under attacker control

Той самий агент зазвичай підтримує постійний цикл, який опитує жорстко вбудований C2 URI. Будь-який недоступний статус призводить до повторних спроб, тобто beacon залишається активним до тих пір, поки оператори не надішлють інструкції.

Канал інструкцій у стилі MrAgent

Легковагові агенти управління надають лаконічний набір інструкцій, який парситься з черги C2. Цього набору достатньо, щоб оперувати десятками скомпрометованих hypervisors без інтерактивних шелів:

ІнструкціяДія
ConfigПерезаписати локальний JSON конфіг, який визначає цільові каталоги, затримки виконання або throttle, дозволяючи швидко переназначати завдання без перевстановлення бінарників.
InfoПовернути інформацію про збірку hypervisor, IP-адреси та метадані адаптерів, зібрані за допомогою проб uname/esxcli.
ExecЗапустити фазу ransomware: змінити облікові дані root, зупинити vpxa, за бажанням запланувати затримку перезавантаження та потім завантажити й виконати encryptor.
RunРеалізувати віддалений shell, записавши довільні команди з C2 у ./shmv, виконати chmod +x та запустити його.
RemoveВиконати rm -rf <path> для очищення інструментів або деструктивного стирання.
Abort / Abort_fЗупинити поставлені в чергу шифрування або вбити запущені робочі потоки, якщо оператор хоче призупинити дії після перезавантаження.
QuitЗавершити агента і виконати rm -f його бінарного файлу для швидкого самовидалення.
WelcomeЗловживати esxcli system welcomemesg set -m="text" щоб відобразити повідомлення про викуп прямо в банері консолі.

Внутрішньо ці агенти зберігають два JSON-блоки, захищені mutex (runtime config + status/telemetry), щоб конкурентні потоки (наприклад beaconing + encryption workers) не псували спільний стан. Зразки часто наповнені сміттєвим кодом, щоб уповільнити поверхневий статичний аналіз, але основні рутини залишаються незмінними.

Орієнтація на віртуалізацію та резервні копії

Шифрувальники типу Mario проходять лише по кореневих директоріях, заданих оператором, і зачіпають артефакти віртуалізації, що мають значення для безперервності бізнесу:

РозширенняЦіль
vmdk, vmem, vmsd, vmsn, vswpДиски VM, знімки пам’яті та файли підміни (swap).
ova, ovfПортативні VM appliance бандли/метадані.
vibESXi інсталяційні бандли, які можуть блокувати remediation/patching.
vbk, vbmVeeam VM backups + метадані для саботажу відновлень на хості.

Операційні особливості:

  • Кожна відвідана директорія отримує How To Restore Your Files.txt перед шифруванням, щоб канали вимагання були видимі навіть на відключених хостах.
  • Вже оброблені файли пропускаються, якщо їхні імена містять .emario, .marion, .lmario, .nmario, .mmario або .wmario, запобігаючи подвійному шифруванню, яке б зламало decryptor атакуючих.
  • Зашифровані payload-и перейменовуються з суфіксом у стилі *.mario (зазвичай .emario), щоб оператори могли віддалено перевіряти покриття у консолях або списках datastore.

Покращення багатошарового шифрування

Останні збірки Mario замінюють оригінальний лінійний одно-ключовий алгоритм на розріджену, багатоключову конструкцію, оптимізовану для багатосотенгігабайтних VMDK:

  • Key schedule: Генерується 32-байтовий первинний ключ (зберігається навколо var_1150) і незалежний 8-байтовий вторинний ключ (var_20). Дані спочатку трансформуються первинним контекстом, а потім повторно перемішуються із вторинним ключем перед записом на диск.
  • Per-file headers: Буфери метаданих (наприклад var_40) відстежують карти чанків і прапори, щоб приватний decryptor атакуючих міг відтворити розріджену розкладку.
  • Dynamic chunking: Замість постійного циклу 0xA00000, розмір чанку та зсуви перераховуються на основі розміру файлу, з порогами, розширеними до ~8 GB, щоб відповідати сучасним VM-образам.
  • Sparse coverage: Зачіпаються лише стратегічно обрані регіони, що радикально зменшує час виконання, одночасно корумпуючи метадані VMFS, структури NTFS/EXT4 всередині guest або індекси резервних копій.
  • Instrumentation: Оновлені збірки логують для кожного чанку кількість байтів та підсумки (encrypted/skipped/failed) у stdout, даючи афіліатам телеметрію під час live інфрачузій без додаткових інструментів.

Див. також

Linux LPE via VMware Tools service discovery (CWE-426 / CVE-2025-41244):

Vmware Tools Service Discovery Untrusted Search Path Cve 2025 41244

Посилання

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks