det0535-detect-abuse-of-vsphere-installation-bundles-vibs-for-persistent-access

# DET0535 — Detect Abuse of vSphere Installation Bundles (VIBs) for Persistent Access ## Descrição VIBs (vSphere Installation Bundles) são pacotes de software para instalação de componentes no hipervisor VMware ESXi. Adversários com acesso administrativo ao ESXi podem instalar VIBs maliciosos com nível de aceitação `CommunitySupported` (o mais permissivo) para estabelecer backdoors persistentes diretamente no hipervisor, afetando todas as VMs hospedadas. Esta técnica foi documentada pela Mandiant na campanha `UNC3886` (atribuída a [[g1048-unc3886|UNC3886]], ator de espionagem chinês) com a família de malware `VIRTUALPITA` e `VIRTUALGATE`, que instalavam backdoors como VIBs em servidores ESXi de alto valor. O impacto é crítico: um backdoor em nível de hipervisor tem acesso completo a todas as VMs, memória e tráfego de rede, e persiste mesmo que as VMs sejam recriadas. A detecção requer auditoria do inventário de VIBs instalados (`esxcli software vib list`) e comparação com baseline conhecido e assinado. VIBs legítimos de VMware e parceiros certificados têm nível de aceitação `VMwareCertified` ou `VMwareAccepted` — qualquer VIB `CommunitySupported` deve ser investigado, especialmente os instalados recentemente ou com nome que imita componentes do sistema. A estratégia de detecção combina auditoria periódica de VIBs com monitoramento de logs de instalação do ESXi (`/var/log/esxupdaté.log`) e alertas em sistemas de monitoramento de infraestrutura como VMware vSphere/vCenter. A implementação de Secure Boot e verificação de integridade do hipervisor via VMware's Attestation Service é a contramedida preventiva mais eficaz. ## Indicadores de Detecção - VIB instalado com `AcceptanceLevel: CommunitySupported` não presente no baseline aprovado - Modificação do arquivo `/etc/vmware/esx.conf` ou arquivos de configuração críticos do ESXi fora de janela de manutenção - Novo processo ou serviço em execução no ESXi não listado no baseline (`esxcli system process list`) - Instalação de VIB via linha de comando (`esxcli software vib install`) em horário não-programado - Arquivo de VIB (`.vib` ou `.zip`) presente em `/vmfs/volumes/` ou `/tmp/` sem origem conhecida - Conexões de rede de saída do host ESXi para IPs externos (incomum — ESXi tipicamente não inicia conexões externas) ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] — persistência em nível de firmware/hipervisor - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de credenciais de administrador vSphere comprometidas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — scripts de instalação de VIB malicioso - [[t1136-create-account|T1136 — Create Account]] — criação de contas backdoor no ESXi via VIB - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] — reconhecimento da infraestrutura virtualizada ## Analytics Relacionadas - [[an1475-analytic-1475|AN1475 — Analytic 1475]] --- *Fonte: [MITRE ATT&CK — DET0535](https://attack.mitre.org/detectionstrategies/DET0535)*