# T1675 - Comando de Administração ESXi ## Descrição Ambientes de virtualização VMware ESXi expõem serviços de administração que permitem o gerenciamento remoto de máquinas virtuais hospedadas. Um desses serviços é o VMware Tools Daemon, que roda como processo de fundo em cada VM guest - `vmtoolsd.exe` no Windows, `vmware-tools-daemon` no macOS e `vmtoolsd` no Linux. Esses processos foram concebidos para facilitar tarefas legítimas como cópia de arquivos entre host e guest, execução de scripts e coleta de métricas. Adversários com acesso ao hipervisor ESXi podem abusar dessas interfaces de gerenciamento para executar comandos arbitrários nas VMs hospedadas, sem precisar de credenciais válidas nas próprias VMs. A abordagem mais comum é o uso do vSphere Web Services SDK, que expõe uma API programática com métodos como `StartProgramInGuest` (executa um processo na VM), `ListProcessesInGuest` (lista processos em execução), `ListFileInGuest` (navega pelo sistema de arquivos) e `InitiateFileTransferFromGuest` (extrai arquivos do guest para o atacante). O valor tático desta técnica está na lateralização silenciosa: o atacante parte do hipervisor comprometido e alcança dezenas ou centenas de VMs sem qualquer interação de rede direta com elas. Todo o tráfego passa pelos canais internos do hypervisor, o que dificulta a detecção por ferramentas de segurança instaladas nas VMs. As ações subsequentes mais observadas incluem [[t1083-file-and-directory-discovery|descoberta de arquivos e diretórios]], [[t1005-data-from-local-system|coleta de dados locais]] e [[t1003-os-credential-dumping|dump de credenciais do sistema operacional]]. **Contexto Brasil/LATAM:** Instituições financeiras, provedores de telecomúnicações e operadores de infraestrutura crítica no Brasil fazem uso extensivo de virtualização VMware ESXi em seus data centers. Grupos como [[g1048-unc3886|UNC3886]] demonstraram interesse específico em hipervisores como plataforma de persistência de longo prazo, contornando soluções de EDR que operam exclusivamente no nível do sistema operacional convidado. Ambientes que não segmentam o acesso de gerenciamento ESXi da rede corporativa são particularmente vulneráveis a este vetor. ## Attack Flow ```mermaid graph TB A[Acesso ao Hipervisor] --> B[T1675 - Cmd ESXi Admin] B --> C[Execução nas VMs Guest] C --> DDump de Credenciais] D --> E[Movimento Lateral] ``` ## Como Funciona **1. Preparação** O adversário obtém acesso ao hipervisor ESXi - sejá por credenciais comprometidas de administrador, exploração de vulnerabilidade no serviço de gerenciamento ou persistência via [[s1217-virtualpita|VIRTUALPITA]]. Com esse acesso, é possível listar todas as VMs hospedadas e seus estados. **2. Execução** Utilizando o vSphere Web Services SDK ou ferramentas como `vim-cmd` disponíveis no shell ESXi, o atacante invoca métodos de guest operations nas VMs-alvo. O método `StartProgramInGuest` dispara um processo na VM sem necessidade de autenticação adicional no sistema operacional convidado, desde que o VMware Tools estejá ativo. **3. Pós-execução** Após executar comandos nas VMs, o adversário pode exfiltrar resultados via `InitiateFileTransferFromGuest`, criar backdoors persistentes nas VMs individuais ou realizar [[t1003-os-credential-dumping|dump de credenciais]] para expandir o acesso lateral pela infraestrutura virtualizada. **Exemplo - artefato de detecção no shell ESXi:** ```bash # Comando legítimo (e potencialmente malicioso) no shell ESXi vim-cmd vmsvc/getallvms # Lista todas as VMs com seus VMIDs # Chamada via API vSphere SDK - artefato em logs do hostd # [StartProgramInGuest] vmId=42 programPath=/bin/bash arguments="-c 'id > /tmp/.out'" ``` ## Detecção **Fontes de dados:** Logs do processo `hostd` no ESXi (`/var/log/hostd.log`), logs de autenticação vCenter, auditoria de API vSphere, alertas do VMware vSphere Trust Authority. ```yaml title: Execução de Comando em VM via ESXi Guest Operations API id: 7f3a2c91-84de-4e1b-b902-dc9f3e5a1047 status: experimental description: Detecta chamadas às APIs de guest operations do ESXi que podem indicar execução remota maliciosa em VMs hospedadas logsource: category: application product: vmware_esxi service: hostd detection: selection: EventType: - "StartProgramInGuest" - "InitiateFileTransferFromGuest" - "ListProcessesInGuest" filter_scheduled: PrincipalName|contains: "vpxd" condition: selection and not filter_scheduled falsepositives: - Tarefas de automação legítimas via vCenter (VMware vRealize, scripts de backup) - Agentes de monitoramento (Zabbix, Datadog) com acesso ao vSphere SDK level: high tags: - attack.execution - attack.t1675 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar o princípio de menor privilégio nas contas ESXi e vCenter; separar contas de administração de hipervisor das contas corporativas; utilizar roles customizadas com permissões mínimas para automações legítimas | | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir quais contas têm permissão para usar as APIs de guest operations; habilitar autenticação multifator para acesso ao vCenter; auditar regularmente as permissões atribuídas no vSphere | | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar a rede de gerenciamento ESXi (VMkernel Management) da rede corporativa; bloquear acesso direto às portas de gerenciamento ESXi (443, 902) a partir de segmentos não administrativos | ## Referências *Fonte: [MITRE ATT&CK - T1675](https://attack.mitre.org/techniques/T1675)*