t1673-virtual-machine-discovery

# T1673 - Virtual Machine Discovery ## Descrição **Virtual Machine Discovery** é uma técnica de reconhecimento em que adversários, após comprometerem um hypervisor ou host, enumeram as máquinas virtuais em execução no ambiente. O objetivo é mapear o parque de VMs antes de executar ações de impacto - especialmente ataques de ransomware que visam criptografar múltiplas VMs simultaneamente ou sabotar infraestrutura virtualizada crítica. Em ambientes **VMware ESXi**, a técnica é executada via [[t1059-012-hypervisor-cli|Hypervisor CLI]] usando comandos como `esxcli vm process list` ou `vim-cmd vmsvc/getallvms`. Adversários também podem abusar de interfaces gráficas como VMware vCenter para visualizar e interagir com VMs sem levantar alertas de linha de comando. No contexto **brasileiro e latino-americano**, essa técnica ganhou relevância crítica com a proliferação de ataques a datacenters regionais e provedores de serviços gerenciados (MSPs). O grupo [[g1048-unc3886|UNC3886]] - nexo com atores de espionagem ligados à China - é o principal ator documentado usando T1673, tendo comprometido hypervisors ESXi de organizações de telecomúnicações e defesa. O malware [[s1217-virtualpita|VIRTUALPITA]], desenvolvido específicamente para ESXi, é uma backdoor instalada no hypervisor que usa essa técnica para enumerar VMs antes de executar comandos maliciosos em guests específicos. No Brasil, onde muitas organizações financeiras e governamentais operam ambientes VMware legados com patches atrasados, a exposição é significativa. Ataques de ransomware como [[qilin|Qilin]] e [[s1096-cheerscrypt|Cheerscrypt]] documentaram uso de T1673 para maximizar o impacto: após enumerar todas as VMs, o ransomware criptografa os arquivos `.vmdk`, `.vmx` e `.vmss` de forma coordenada, derrubando múltiplos servidores simultaneamente. > [!danger] Impacto Amplificado > Um único hypervisor ESXi comprometido pode expor dezenas de VMs para criptografia simultânea. Organizações que consolidaram infraestrutura em poucos hosts ESXi sem segmentação de rede adequada enfrentam risco de destruição total de ambiente em uma única intrusão. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial ESXi/vCenter]) --> B([Escalada de Privilégio]) B --> C(["T1673 VM Discovery"]:::highlight) C --> D([T1489 - Service Stop Parar VMs]) C --> E([T1486 - Data Encrypted Ransomware em .vmdk]) C --> F([Movimentação Lateral para VMs guests]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Acesso ao hypervisor e reconhecimento inicial** O adversário obtém acesso ao hypervisor ESXi - via credenciais roubadas, CVEs em serviços expostos (vCenter, ESXi UI) ou movimento lateral a partir de um host comprometido. Com acesso ao shell ESXi, executa `esxcli vm process list` para listar todos os processos de VM em execução, obtendo IDs de VM, nomes e estado (ligada/desligada). Alternativamente, `vim-cmd vmsvc/getallvms` retorna um inventário completo com paths de datastore. **Passo 2 - Mapeamento de datastores e arquivos de VM** Com a lista de VMs em mãos, o adversário mapeia os datastores associados usando `esxcli storage filesystem list` para identificar onde os arquivos `.vmdk` e `.vmx` estão armazenados. Essa etapa é crítica para ataques de ransomware que visam criptografar os arquivos de disco diretamente no datastore, sem precisar acessar cada VM individualmente. O [[qilin|Qilin]] ransomware, por exemplo, usa esse mapeamento para construir listas de arquivos alvo. **Passo 3 - Seleção de alvos e execução de impacto** Com o mapa completo de VMs e datastores, o adversário seleciona alvos prioritários (servidores de banco de dados, aplicações críticas, backups) e executa a fase de impacto: parada de VMs com `vim-cmd vmsvc/power.off`, seguida de criptografia ou destruição dos arquivos de disco. O [[s1217-virtualpita|VIRTUALPITA]] usa essa sequência para executar comandos maliciosos dentro de VMs guests específicas via comunicação VMware backdoor. --- ## Detecção ### Comandos e Indicadores Monitorar (ESXi) | Indicador | Tipo | Descrição | |-----------|------|-----------| | `esxcli vm process list` | Processo | Enumeração de VMs em execução - raro em operação normal | | `vim-cmd vmsvc/getallvms` | Processo | Inventário completo de VMs - suspeito fora de jánelas de manutenção | | `esxcli storage filesystem list` | Processo | Mapeamento de datastores - precede ransomware ESXi | | Acesso SSH ao ESXi fora de horário | Log de acesso | Sessões SSH em ESXi devem ser raras e auditadas | | Criação de arquivos `.sh` em `/tmp` | Filesystem | Padrão de staging de payloads ESXi | ### Event IDs Relevantes (vCenter / Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4624 | Security (Windows) | Logon em host gerenciador vCenter | | 4688 | Security (Windows) | Criação de processo - buscar `esxcli`, `vim-cmd` | | VMware vCenter Audit | vCenter Events | `vim.VirtualMachine.summary` queries em volume | ### Sigma Rule ```yaml title: ESXi Virtual Machine Enumeration Commands id: b7c4d3e2-5f6a-7890-bcde-f01234567890 status: experimental description: > Detecta comandos de enumeração de VMs em hypervisors VMware ESXi, padrão associado à T1673 - Virtual Machine Discovery e precursor de ataques de ransomware como Qilin e Cheerscrypt. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: linux detection: selection_esxcli: CommandLine|contains: - 'esxcli vm process list' - 'vim-cmd vmsvc/getallvms' - 'esxcli storage filesystem list' - 'vim-cmd vmsvc/power' condition: selection_esxcli falsepositives: - Scripts legítimos de monitoramento e automação de infraestrutura - Jánelas de manutenção programadas com acesso documentado level: high tags: - attack.discovery - attack.t1673 ``` --- ## Mitigação | Controle | Descrição | Prioridade para Org. Brasileiras | |----------|-----------|----------------------------------| | Restringir acesso SSH ao ESXi | Habilitar SSH apenas durante manutenção; desabilitar por padrão; usar jump host dedicado | Alta - SSH ESXi aberto é vetor primário de comprometimento | | Autenticação forte para vCenter | MFA obrigatório para todos os acessos ao vCenter; desabilitar contas locais legadas | Alta - credenciais padrão e contas não rotacionadas são comuns | | Segmentação de rede de gerenciamento | Isolar rede de gerenciamento ESXi/vCenter em VLAN dedicada sem acesso à internet | Alta - essencial para datacenters brasileiros com ambientes planos | | Monitoramento de comandos ESXi | Integrar logs de auditoria ESXi ao SIEM; alertar para `vim-cmd` e `esxcli` fora do horário comercial | Média - requer syslog forwarding configurado no ESXi | | Patches regulares de ESXi/vCenter | Aplicar patches de segurança em ciclos mensais; priorizar CVEs com PoC público | Alta - muitas instâncias ESXi no Brasil rodam versões com CVEs críticos abertos | | Backup offline de VMs críticas | Manter backups imutáveis de VMs críticas em storage offline ou fora do alcance do hypervisor | Alta - única defesa efetiva contra ransomware que criptografa datastores | --- ## Threat Actors que Usam ### [[g1048-unc3886|UNC3886]] Grupo de espionagem com nexo atribuído à China, especializado em comprometimento de infraestrutura de virtualização. Documentado pelo Mandiant em campanhas contra organizações de telecomúnicações, defesa e governo. Desenvolveu ferramentas específicas para ESXi, incluindo [[s1217-virtualpita|VIRTUALPITA]] e [[s1218-virtualpie|VIRTUALPIE]], que usam T1673 para enumerar VMs antes de estabelecer backdoors persistentes em guests específicos. Alvo potencial para provedores de infraestrutura crítica no Brasil e LATAM. --- ## Software Associado | Software | Tipo | Uso em T1673 | |----------|------|--------------| | [[qilin\|Qilin]] | Ransomware | Enumera VMs ESXi e criptografa arquivos `.vmdk` em datastores | | [[s1217-virtualpita\|VIRTUALPITA]] | Backdoor ESXi | Backdoor persistente no hypervisor; enumera VMs para execução de comandos em guests | | [[s1096-cheerscrypt\|Cheerscrypt]] | Ransomware | Ransomware ESXi que para VMs e criptografa arquivos de disco | --- *Fonte: [MITRE ATT&CK - T1673](https://attack.mitre.org/techniques/T1673)*