穿越小说完本,将夜猫腻小说,怎样写网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一文簡析虛擬化環(huán)境中的超級劫持攻擊

2022年9月，安全研究人員發(fā)現(xiàn)了一種較罕見的新型攻擊方法——Hyperjacking（超級劫持）攻擊，攻擊者在 VMware 虛擬化軟件中部署了一種感染后植入程序，以控制受感染的虛擬機系統(tǒng)并逃避檢測。

需要強調(diào)的是，這種攻擊的危害性不在于通過外部遠程代碼執(zhí)行漏洞，而是攻擊者劫持了虛擬機系統(tǒng)的管理員級權(quán)限。谷歌的 Mandiant 威脅情報部門將其稱為一種嚴(yán)重危害虛擬機運行的“新型惡意軟件生態(tài)系統(tǒng)”，因為當(dāng)攻擊者獲得虛擬機的超級管理員權(quán)限時，就可以對虛擬機管理程序進行持續(xù)訪問并執(zhí)行任意命令。

什么是超級劫持攻擊

從英文名稱來看，超級劫持（Hyperjacking）攻擊是超級管理程序（hypervisor）和劫持攻擊（jacking）的結(jié)合體。因此，超級劫持攻擊主要指通過對虛擬機（VM）的惡意攻擊實現(xiàn)未經(jīng)授權(quán)的高級管理權(quán)限控制。

基于hypervisor的虛擬化應(yīng)用

盡管虛擬機必須存在于硬件服務(wù)器上，但它們需要使用虛擬組件（如虛擬CPU）進行操作。而Hypervisor則是虛擬機環(huán)境正常運行的關(guān)鍵，因為hypervisor是一種運行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層，可允許多個操作系統(tǒng)和應(yīng)用共享硬件，也可稱為虛擬機管理器（VMM）。超級劫持攻擊的目標(biāo)正是虛擬機的hypervisor。

盡管安全研究人員很早就提出了超級劫持攻擊發(fā)生的可能性。但多年來，這種類型的攻擊并未在實際安全事件中出現(xiàn)，原因可能是攻擊者在權(quán)衡性價比后，發(fā)現(xiàn)有更輕松的攻擊渠道，比如通過更傳統(tǒng)的惡意軟件。然而，隨著技術(shù)和網(wǎng)絡(luò)攻擊者策略的不斷演進，超級劫持攻擊的發(fā)生風(fēng)險正在逐年增加。

超級劫持攻擊原理

超級劫持攻擊的主要目標(biāo)是hypervisor。在典型的攻擊中，原始的hypervisor將被攻擊者控制的惡意hypervisor替換，這樣攻擊者就可以獲得對合法hypervisor的非法控制并濫用虛擬機。

通過控制虛擬機的hypervisor，攻擊者還可以反過來獲得對整個虛擬機服務(wù)器的監(jiān)控權(quán)，這意味著他們的惡意行為更加隱蔽，難以被識別發(fā)現(xiàn)。在今年9月發(fā)現(xiàn)的超級劫持攻擊案例中，就發(fā)現(xiàn)黑客使用超級管理員權(quán)限來監(jiān)視受害者。

根據(jù)Mandiant的研究報告顯示，攻擊者在發(fā)起超級劫持攻擊時采取了以下攻擊行動：

維持對hypervisor的持久管理訪問權(quán)限；
向hypervisor發(fā)送可以路由到客戶虛擬機（VM）的執(zhí)行命令；
在ESXi管理程序和在其上運行的客戶機之間傳輸文件；
篡改管理程序上的日志服務(wù)；
從一個客戶VM向運行在同一管理程序上的另一個客戶VM執(zhí)行惡意操作命令。

VMware公司的研究人員還證實了在其虛擬化應(yīng)用環(huán)境中發(fā)現(xiàn)了一種新的針對vSphere的惡意軟件變體，當(dāng)此惡意軟件被激活時，攻擊者可以使用存在的安全漏洞來損害客戶利益。

攻擊者或惡意內(nèi)部人員部署的惡意軟件有效負(fù)載

超級劫持攻擊防護策略

值得慶幸的是，與網(wǎng)絡(luò)釣魚和勒索軟件等非常流行的攻擊策略相比，超級劫持攻擊目前還是一種相對較新的網(wǎng)絡(luò)犯罪手段，但它很可能會在黑產(chǎn)犯罪組織中快速流行起來，以實現(xiàn)其監(jiān)視受害者并竊取數(shù)據(jù)資產(chǎn)的犯罪企圖。因此，如果企業(yè)正在使用一個或多個虛擬機，請盡快加強對它們的防護措施，以避免淪為高級劫持攻擊的受害者。

1、認(rèn)證與授權(quán)

企業(yè)在部署虛擬基礎(chǔ)設(shè)施時常常忽略建立適當(dāng)?shù)脑L問控制策略。系統(tǒng)管理員通?？梢圆皇芟拗频卦L問大型虛擬機的根目錄，這將使企業(yè)更容易遭受超級劫持攻擊。通過應(yīng)用基本的縱深防御安全原則和采用最小特權(quán)模型，可以有效阻止這種攻擊。作為最小權(quán)限模型的一部分，強密碼策略和多因素身份驗證的使用可以幫助減輕這些攻擊。

2、基于角色的訪問控制

除了使用最小特權(quán)模型，企業(yè)還應(yīng)該在部署虛擬機之前實現(xiàn)基于角色的訪問控制策略，以防止超級劫持攻擊威脅。通過定義詳細(xì)的、細(xì)粒度的基于角色的訪問控制，使用最小特權(quán)訪問原則來限制超級管理員的能力。這些舉措還可以幫助確定誰可以訪問虛擬環(huán)境中的內(nèi)容。

3、二級審核

二級審核（Secondary approval）可以在用戶對資源執(zhí)行敏感的、破壞性的操作之前強制執(zhí)行額外的審核。例如，如果某些特權(quán)用戶正在執(zhí)行刪除或關(guān)閉虛擬機、編輯防火墻或創(chuàng)建邊緣網(wǎng)關(guān)服務(wù)，系統(tǒng)可以要求二級審核。此外，特權(quán)用戶不能批準(zhǔn)自己發(fā)起的請求，即使他們在審核組中。

最小權(quán)限、二級審批和基于角色的訪問控制

4、主機認(rèn)證

主機認(rèn)證是另一個防范超級劫持攻擊的關(guān)鍵舉措，虛擬環(huán)境管理員可以使用它在某些場景中幫助阻止攻擊者。例如，主機認(rèn)證可以確保在主機啟動周期中，可以通過利用“指紋”或一組唯一的主機測量值來確定虛擬機系統(tǒng)當(dāng)前的可信任狀態(tài)。

5、完善基礎(chǔ)安全措施

企業(yè)應(yīng)該始終確保為虛擬機應(yīng)用系統(tǒng)配備了完善的基礎(chǔ)防護措施。例如，可以使用防火墻隔離每個虛擬機，并確保主機設(shè)備具有足夠的防病毒保護。當(dāng)攻擊者獲得對虛擬機的控制時，他們可以使用它訪問其他硬件。因此，盡量不要將虛擬機鏈接到不必要的設(shè)備，以避免攻擊者在完成攻擊后進一步利用它。

組織還應(yīng)該確保為hypervisor定期打補丁，以防惡意行為者利用軟件中的錯誤和漏洞。這是網(wǎng)絡(luò)犯罪分子實施攻擊的最常見方式之一，有時在軟件供應(yīng)商意識到安全漏洞存在之前，他們就會造成大量破壞。

參考鏈接：

??https://cloudsecurityalliance.org/blog/2022/11/29/preventing-hyperjacking-in-a-virtual-environment/??

??https://www.makeuseof.com/what-is-hyperjacking-attack/??

本文名稱：一文簡析虛擬化環(huán)境中的超級劫持攻擊
轉(zhuǎn)載源于：http://fisionsoft.com.cn/article/coepghs.html

新聞中心

什么是超級劫持攻擊

超級劫持攻擊原理

超級劫持攻擊防護策略

參考鏈接：

其他資訊