2022年9月,安全研究人员发现了一种比较少见的新型攻击方式——Hyperjacking(超级劫持)攻击,攻击者部署在VMware虚拟化软件中开发感染后植入程序以取得控制权受感染的虚拟机系统并逃避检测。需要强调的是,本次攻击的危险性不是通过外部远程代码执行漏洞,而是攻击者劫持了虚拟机系统的管理员级权限。谷歌的Mandiant威胁情报部门将其称为严重危害虚拟机运行的“新恶意软件生态系统”,因为当攻击者获得虚拟机的超级管理员权限时,它可以获得对管理程序的持久访问并执行任意命令。什么是超级劫持攻击?从英文名称来看,hyperjackingattack是hypervisor和jackingattack的组合。因此,超级劫持攻击主要是指通过对虚拟机(VM)的恶意攻击,实现未经授权的高层管理权限控制。基于Hypervisor的虚拟化应用虽然虚拟机必须存在于硬件服务器上,但它们需要使用虚拟组件(如虚拟CPU)来运行。Hypervisor是虚拟机环境正??常运行的关键,因为Hypervisor是运行在基础物理服务器和操作系统之间的一个中间软件层,允许多个操作系统和应用程序共享硬件,也称为虚拟机管理机(VMM)。超级劫持攻击的目标是虚拟机的管理程序。尽管安全研究人员早就提出了超级劫持攻击发生的可能性。但多年来,此类攻击并没有出现在实际的安全事件中。原因可能是在权衡成本效益后,攻击者发现有更简单的攻击渠道,例如通过更传统的恶意软件。然而,随着技术和网络攻击手段的不断演进,超级劫持攻击的风险逐年增加。超级劫持攻击原理超级劫持攻击的主要目标是hypervisor。在典型的攻击中,原来的hypervisor会被攻击者控制的恶意hypervisor所取代,这样攻击者就可以获得对合法hypervisor的非法控制权,滥用虚拟机。攻击者通过控制虚拟机的hypervisor,进而可以获得对整个虚拟机服务器的监控权,这意味着他们的恶意行为更加隐蔽,更难被识别。在今年9月发现的超级劫持攻击案中,发现黑客利用超级管理员权限对受害者进行监控。根据Mandiant的研究报告,攻击者在发起超级劫持攻击时采取了以下攻击行动:保持对管理程序的持久管理访问;将执行命令发送到可以路由到来宾虚拟机(VM)的管理程序;在其上运行的客户端计算机之间传输文件;篡改管理程序上的日志服务;从一个来宾VM向运行在同一管理程序上的另一个来宾VM执行恶意操作命令。VMware研究人员还证实,在其虚拟化应用程序环境中发现了一种针对vSphere的新恶意软件变体,该变体一旦被激活,就会允许攻击者利用现有的安全漏洞来伤害客户。攻击者或恶意内部人员部署的恶意软件负载超级劫持攻击保护策略值得庆幸的是,与网络钓鱼和勒索软件等非常流行的攻击策略相比,超级劫持攻击仍然是一种相对较新的网络犯罪。手段,但很可能在黑市犯罪组织中迅速流行起来,以实现其监视受害者、窃取数据资产的犯罪企图。因此,如果您的组织正在使用一个或多个虚拟机,请尽快加固它们以避免成为高级劫持攻击的受害者。1.认证与授权企业在部署虚拟基础架构时,往往忽视了建立适当的访问控制策略。系统管理员通常可以不受限制地访问大型虚拟机的根目录,这会使企业更容易受到超级劫持攻击。通过应用基本的纵深防御安全原则和采用最小特权模型,可以有效地阻止这种攻击。强大的密码策略和使用多因素身份验证作为最小权限模型??的一部分可以帮助减轻这些攻击。2.基于角色的访问控制除了使用最小权限模型??,企业在部署虚拟机之前还应该实施基于角色的访问控制策略,以防止超级劫持攻击的威胁。通过定义详细的、细粒度的基于角色的访问控制,使用最小权限访问原则来限制超级管理员的能力。这些举措还可以帮助确定谁可以访问虚拟环境中的内容。3.二次审批二次审批可以在用户对资源进行敏感的、破坏性的操作之前强制进行额外的审批。例如,如果某些特权用户正在执行虚拟机的删除或关闭、编辑防火墙或创建边缘服务,系统可能需要二级审计。此外,特权用户不能批准他们自己发起的请求,即使他们在审核组中也是如此。最小权限、两级审批、基于角色的访问控制4.主机认证主机认证是防止超级劫持攻击的另一个关键措施,虚拟环境管理员可以在某些场景下使用它来帮助阻止攻击者。例如,主机证明确保在主机启动周期期间,虚拟机系统的当前可信状态可以通过使用“指纹”或一组独特的主机测量来确定。5、完善基础安全措施企业应始终确保虚拟机应用系统具备完备的基础保护措施。例如,您可以使用防火墙来隔离每个虚拟机并确保主机设备具有足够的防病毒保护。当攻击者获得虚拟机的控制权时,他们可以使用它来访问其他硬件。因此,尽量不要将虚拟机链接到不必要的设备上,以免攻击完成后被攻击者进一步利用。组织还应确保定期为管理程序打补丁,以防止恶意行为者利用软件中的错误和漏洞。这是网络罪犯进行攻击的最常见方式之一,有时甚至在软件供应商意识到存在安全漏洞之前就已经造成严重破坏。参考链接:https://cloudsecurityalliance.org/blog/2022/11/29/preventing-hyperjacking-in-a-virtual-environment/https://www.makeuseof.com/what-is-hyperjacking-attack/
