2022年9月，安全研究人員發(fā)現(xiàn)了一種較罕見的新型攻擊方法——Hyperjacking（超級(jí)劫持）攻擊，攻擊者在 VMware 虛擬化軟件中部署了一種感染后植入程序，以控制受感染的虛擬機(jī)系統(tǒng)并逃避檢測(cè)。

需要強(qiáng)調(diào)的是，這種攻擊的危害性不在于通過外部遠(yuǎn)程代碼執(zhí)行漏洞，而是攻擊者劫持了虛擬機(jī)系統(tǒng)的管理員級(jí)權(quán)限。谷歌的 Mandiant 威脅情報(bào)部門將其稱為一種嚴(yán)重危害虛擬機(jī)運(yùn)行的“新型惡意軟件生態(tài)系統(tǒng)”，因?yàn)楫?dāng)攻擊者獲得虛擬機(jī)的超級(jí)管理員權(quán)限時(shí)，就可以對(duì)虛擬機(jī)管理程序進(jìn)行持續(xù)訪問并執(zhí)行任意命令。

什么是超級(jí)劫持攻擊

從英文名稱來看，超級(jí)劫持（Hyperjacking）攻擊是超級(jí)管理程序（hypervisor）和劫持攻擊（jacking）的結(jié)合體。因此，超級(jí)劫持攻擊主要指通過對(duì)虛擬機(jī)（VM）的惡意攻擊實(shí)現(xiàn)未經(jīng)授權(quán)的高級(jí)管理權(quán)限控制。

基于hypervisor的虛擬化應(yīng)用

盡管虛擬機(jī)必須存在于硬件服務(wù)器上，但它們需要使用虛擬組件（如虛擬CPU）進(jìn)行操作。而Hypervisor則是虛擬機(jī)環(huán)境正常運(yùn)行的關(guān)鍵，因?yàn)閔ypervisor是一種運(yùn)行在基礎(chǔ)物理服務(wù)器和操作系統(tǒng)之間的中間軟件層，可允許多個(gè)操作系統(tǒng)和應(yīng)用共享硬件，也可稱為虛擬機(jī)管理器（VMM）。超級(jí)劫持攻擊的目標(biāo)正是虛擬機(jī)的hypervisor。

盡管安全研究人員很早就提出了超級(jí)劫持攻擊發(fā)生的可能性。但多年來，這種類型的攻擊并未在實(shí)際安全事件中出現(xiàn)，原因可能是攻擊者在權(quán)衡性價(jià)比后，發(fā)現(xiàn)有更輕松的攻擊渠道，比如通過更傳統(tǒng)的惡意軟件。然而，隨著技術(shù)和網(wǎng)絡(luò)攻擊者策略的不斷演進(jìn)，超級(jí)劫持攻擊的發(fā)生風(fēng)險(xiǎn)正在逐年增加。

超級(jí)劫持攻擊原理

超級(jí)劫持攻擊的主要目標(biāo)是hypervisor。在典型的攻擊中，原始的hypervisor將被攻擊者控制的惡意hypervisor替換，這樣攻擊者就可以獲得對(duì)合法hypervisor的非法控制并濫用虛擬機(jī)。

通過控制虛擬機(jī)的hypervisor，攻擊者還可以反過來獲得對(duì)整個(gè)虛擬機(jī)服務(wù)器的監(jiān)控權(quán)，這意味著他們的惡意行為更加隱蔽，難以被識(shí)別發(fā)現(xiàn)。在今年9月發(fā)現(xiàn)的超級(jí)劫持攻擊案例中，就發(fā)現(xiàn)黑客使用超級(jí)管理員權(quán)限來監(jiān)視受害者。

根據(jù)Mandiant的研究報(bào)告顯示，攻擊者在發(fā)起超級(jí)劫持攻擊時(shí)采取了以下攻擊行動(dòng)：

• 維持對(duì)hypervisor的持久管理訪問權(quán)限；
• 向hypervisor發(fā)送可以路由到客戶虛擬機(jī)（VM）的執(zhí)行命令；
• 在ESXi管理程序和在其上運(yùn)行的客戶機(jī)之間傳輸文件；
• 篡改管理程序上的日志服務(wù)；
• 從一個(gè)客戶VM向運(yùn)行在同一管理程序上的另一個(gè)客戶VM執(zhí)行惡意操作命令。

VMware公司的研究人員還證實(shí)了在其虛擬化應(yīng)用環(huán)境中發(fā)現(xiàn)了一種新的針對(duì)vSphere的惡意軟件變體，當(dāng)此惡意軟件被激活時(shí)，攻擊者可以使用存在的安全漏洞來損害客戶利益。

攻擊者或惡意內(nèi)部人員部署的惡意軟件有效負(fù)載

超級(jí)劫持攻擊防護(hù)策略

值得慶幸的是，與網(wǎng)絡(luò)釣魚和勒索軟件等非常流行的攻擊策略相比，超級(jí)劫持攻擊目前還是一種相對(duì)較新的網(wǎng)絡(luò)犯罪手段，但它很可能會(huì)在黑產(chǎn)犯罪組織中快速流行起來，以實(shí)現(xiàn)其監(jiān)視受害者并竊取數(shù)據(jù)資產(chǎn)的犯罪企圖。因此，如果企業(yè)正在使用一個(gè)或多個(gè)虛擬機(jī)，請(qǐng)盡快加強(qiáng)對(duì)它們的防護(hù)措施，以避免淪為高級(jí)劫持攻擊的受害者。

1、認(rèn)證與授權(quán)

企業(yè)在部署虛擬基礎(chǔ)設(shè)施時(shí)常常忽略建立適當(dāng)?shù)脑L問控制策略。系統(tǒng)管理員通?？梢圆皇芟拗频卦L問大型虛擬機(jī)的根目錄，這將使企業(yè)更容易遭受超級(jí)劫持攻擊。通過應(yīng)用基本的縱深防御安全原則和采用最小特權(quán)模型，可以有效阻止這種攻擊。作為最小權(quán)限模型的一部分，強(qiáng)密碼策略和多因素身份驗(yàn)證的使用可以幫助減輕這些攻擊。

2、基于角色的訪問控制

除了使用最小特權(quán)模型，企業(yè)還應(yīng)該在部署虛擬機(jī)之前實(shí)現(xiàn)基于角色的訪問控制策略，以防止超級(jí)劫持攻擊威脅。通過定義詳細(xì)的、細(xì)粒度的基于角色的訪問控制，使用最小特權(quán)訪問原則來限制超級(jí)管理員的能力。這些舉措還可以幫助確定誰可以訪問虛擬環(huán)境中的內(nèi)容。

3、二級(jí)審核

二級(jí)審核（Secondary approval）可以在用戶對(duì)資源執(zhí)行敏感的、破壞性的操作之前強(qiáng)制執(zhí)行額外的審核。例如，如果某些特權(quán)用戶正在執(zhí)行刪除或關(guān)閉虛擬機(jī)、編輯防火墻或創(chuàng)建邊緣網(wǎng)關(guān)服務(wù)，系統(tǒng)可以要求二級(jí)審核。此外，特權(quán)用戶不能批準(zhǔn)自己發(fā)起的請(qǐng)求，即使他們?cè)趯徍私M中。

最小權(quán)限、二級(jí)審批和基于角色的訪問控制

4、主機(jī)認(rèn)證

主機(jī)認(rèn)證是另一個(gè)防范超級(jí)劫持攻擊的關(guān)鍵舉措，虛擬環(huán)境管理員可以使用它在某些場(chǎng)景中幫助阻止攻擊者。例如，主機(jī)認(rèn)證可以確保在主機(jī)啟動(dòng)周期中，可以通過利用“指紋”或一組唯一的主機(jī)測(cè)量值來確定虛擬機(jī)系統(tǒng)當(dāng)前的可信任狀態(tài)。

5、完善基礎(chǔ)安全措施

企業(yè)應(yīng)該始終確保為虛擬機(jī)應(yīng)用系統(tǒng)配備了完善的基礎(chǔ)防護(hù)措施。例如，可以使用防火墻隔離每個(gè)虛擬機(jī)，并確保主機(jī)設(shè)備具有足夠的防病毒保護(hù)。當(dāng)攻擊者獲得對(duì)虛擬機(jī)的控制時(shí)，他們可以使用它訪問其他硬件。因此，盡量不要將虛擬機(jī)鏈接到不必要的設(shè)備，以避免攻擊者在完成攻擊后進(jìn)一步利用它。

組織還應(yīng)該確保為hypervisor定期打補(bǔ)丁，以防惡意行為者利用軟件中的錯(cuò)誤和漏洞。這是網(wǎng)絡(luò)犯罪分子實(shí)施攻擊的最常見方式之一，有時(shí)在軟件供應(yīng)商意識(shí)到安全漏洞存在之前，他們就會(huì)造成大量破壞。

參考鏈接：

??https://cloudsecurityalliance.org/blog/2022/11/29/preventing-hyperjacking-in-a-virtual-environment/??

??https://www.makeuseof.com/what-is-hyperjacking-attack/??