t1059-012-hypervisor-cli

# T1059.012 - Interface de Linha de Comando de Hipervisor ## Técnica Pai Esta é uma sub-técnica de [[t1059-command-scripting-interpreter|T1059 - T1059 - Command and Scripting Interpreter]]. ## Descrição Adversários que obtêm acesso a um hipervisor podem abusar de suas interfaces de linha de comando nativas para executar comandos maliciosos com alto nível de privilégio sobre toda a infraestrutura virtualizada. Plataformas de virtualização como o VMware ESXi expõem ferramentas poderosas - como `esxcli`, `vim-cmd` e `esxcfg-*` - que foram projetadas para administração legítima, mas que nas mãos de um atacante permitem controle total sobre as máquinas virtuais hospedadas. O acesso inicial a um ESXi geralmente ocorre por exploração de vulnerabilidades na interface de gerenciamento (vCenter, ESXI Host Client) ou por credenciais comprometidas de administrador. Uma vez com acesso à CLI do hipervisor, o atacante pode enumerar todas as VMs em execução, modificar configurações de rede e firewall, desligar sistemas de segurança, exfiltrar dados de discos virtuais (VMDKs) e executar ransomware que cifra diretamente os datastores - atingindo dezenas ou centenas de servidores virtuais de uma só vez. O grupo [[g1048-unc3886|UNC3886]], de origem chinesa e especializado em espionagem de longo prazo, é o principal ator documentado explorando essa técnica. Em suas campanhas contra organizações de defesa e tecnologia, o grupo explorou vulnerabilidades no VMware vCenter para alcançar o hipervisor, implantou backdoors como [[s1218-virtualpie|VIRTUALPIE]] diretamente no ESXi e usou a CLI nativa para contornar controles de segurança das VMs guest. Grupos de ransomware como [[s1073-royal-blacksuit|Royal]] e operadores do [[s1096-cheerscrypt|Cheerscrypt]] também adotaram essa abordagem para maximizar o impacto em ambientes corporativos virtualizados. **Contexto Brasil/LATAM:** A virtualização VMware ESXi é amplamente adotada em data centers corporativos e de governo no Brasil. Incidentes de ransomware direcionados a hipervisores ESXi têm crescido na região, especialmente contra setores financeiro, saúde e governo estadual, onde a alta densidade de VMs torna o vetor especialmente destrutivo. A técnica [[t1486-data-encrypted-for-impact|T1486]] em conjunto com a CLI do hipervisor representa um dos cenários de maior impacto para organizações brasileiras. ## Attack Flow ```mermaid graph TB A[Acesso ao vCenter/ESXi] --> B[CLI do Hipervisor] B --> C[Enumeração de VMs] C --> D[Desligar Controles de Segurança] D --> E[Ransomware nos Datastores] ``` ## Como Funciona **1. Preparação** O adversário obtém acesso à interface de gerenciamento do ESXi, sejá por vulnerabilidade (ex: CVE no vCenter), por roubo de credenciais administrativas ou por movimento lateral a partir de um sistema já comprometido na rede de gerenciamento. O objetivo é obter um shell no host ESXi - via SSH habilitado, ou pelo console direto. **2. Execução** Com acesso ao shell ESXi, o atacante usa ferramentas nativas para explorar o ambiente: `vim-cmd vmsvc/getallvms` lista todas as VMs; `esxcli network firewall set --enabled false` desabilita o firewall do hipervisor; `esxcli system syslog` pode ser manipulado para suprimir logs. Comandos de gerenciamento de VMs permitem desligar snapshots, montar datastores e executar scripts dentro das VMs guest via VMware Tools. **3. Pós-execução** Com visibilidade total sobre o ambiente virtualizado, o atacante implanta backdoors persistentes no ESXi (técnica correlata: [[t1543-create-or-modify-system-process|T1543]]), realiza [[t1083-file-and-directory-discovery|descoberta de arquivos e diretórios]] nos datastores, ou executa payloads de [[t1486-data-encrypted-for-impact|cifração de dados]] diretamente sobre os VMDKs, tornando todas as VMs inoperantes simultaneamente. **Exemplo:** ```bash # Artefatos de detecção no ESXi - comandos frequentemente abusados: # vim-cmd vmsvc/getallvms → enumeração de VMs # esxcli network firewall set --enabled false → desabilitar firewall # esxcli system ssh server start → habilitar SSH persistente # find /vmfs/volumes/ -name "*.vmdk" → descoberta de discos virtuais # No vCenter, monitorar autenticações SSH inesperadas e comandos # executados via API de gerenciamento fora do horário comercial. ``` ## Detecção **Fontes de dados:** Logs de autenticação SSH do ESXi (`/var/log/auth.log`), logs de shell (`/var/log/shell.log`), syslog do vCenter, alertas de EDR para endpoints de gerenciamento, monitoramento de API vSphere. ```yaml title: Execução Suspeita de Comandos na CLI do ESXi id: e7b2d419-0c8f-4a3e-b561-8d7f2e054c3a status: experimental description: > Detecta a execução de comandos administrativos sensíveis na CLI do ESXi que podem indicar abuso por adversários, especialmente desabilitação de firewall, enumeração massiva de VMs ou manipulação de datastores. logsource: category: process_creation product: linux detection: selection_firewall: CommandLine|contains: - 'esxcli network firewall set --enabled false' - 'esxcli network firewall unload' selection_enum: CommandLine|contains: - 'vim-cmd vmsvc/getallvms' - 'esxcli vm process list' condition: selection_firewall or selection_enum falsepositives: - Atividade administrativa legítima agendada - Manutenção programada de rede no hipervisor level: high tags: - attack.execution - attack.t1059.012 - attack.impact - attack.t1486 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Hardening de acesso SSH | Desabilitar SSH no ESXi por padrão; habilitar somente durante jánelas de manutenção autorizadas com MFA. Monitorar todas as sessões SSH ativas. | | Segmentação da rede de gerenciamento | Isolar a rede de gerenciamento do ESXi e vCenter em VLAN dedicada sem acesso da rede corporativa nem da internet. Aplicar [[m1030-network-segmentation\|M1030]]. | | Gestão de credenciais privilegiadas | Rotacionar credenciais de administrador de hipervisor regularmente; usar cofres de senha (PAM) com checkout auditado. Aplicar [[m1026-privileged-account-management\|M1026]]. | | Monitoramento de integridade | Habilitar logging centralizado de todos os eventos do vCenter e ESXi; alertar em tempo real sobre mudanças de configuração de firewall ou acesso a datastores. | ## Referências *Fonte: [MITRE ATT&CK - T1059.012](https://attack.mitre.org/techniques/T1059/012)*