一、什么是集权设施？

集权是指决策权在组织系统中较高层次的一定程度的集中。在IT领域，也有相似的概念，具体实践包括Kubernetes、AD域、vCenter、Zabbix、堡垒机等，此类集权设施通常可控制大量的计算节点或身份凭据，自上而下成金字塔结构，常见的集权设施对比如下。

本篇文章主要讲解vSphere体系中的集权设施vCenter所面临的威胁以及针对它的防御方案。

二、vCenter：云基础设施的控制中枢

vSphere是VMvare推出的新一代数据中心虚拟化套件，提供了虚拟化基础架构、高可用性、集中管理、监控等一整套解决方案。vSphere的两个核心组件是 ESXi 和 vCenter Server。ESXi 是用于创建并运行虚拟机和虚拟设备的虚拟化平台。vCenter Server 是一项服务，一般也称为 vCenter，用于管理多个ESXi主机以及ESXi主机上运行的虚拟机，其架构如下图所示。

vSphere架构图

由于vSphere平台的稳定性、兼容性、扩展性等众多优点，使得它在大型企业、政府、医院等重要单位得到广泛应用。目前在企业中vSphere的应用场景主要分为服务器集群和云桌面两大场景。

服务器集权管理方案

vSphere平台作为集权类基础设施，在企业内被大量应用在服务器集群的建设中，对运行在ESXi上的大量业务服务器进行统一管理。

云桌面集权管理方案

云桌面是现代化企业中大量应用的一种基础设施，vSphere也经常被用作配合AD对计算机及用户账户等身份凭据进行统一认证管理，登录ESXi上的云桌面集群，实现云桌面建设。

vSphere集权示意图

三、谁在攻击vCenter？

vCenter平台应用范围广，涉及资产多，这是一个基本现状。然而，正是因为vCenter的以上现状，让它成为了最近几年来攻击者的重要攻击目标。一旦控制vCenter，就能够控制vCenter管理的所有资产，这对攻击者具有相当大的诱惑力。不仅如此，攻击者也会以ESXi和ESXi上的虚拟机为突破口，去寻找漏洞，攻击企业其他业务系统，获取更多机密资料。

勒索组织

近年来，针对vSphere的勒索软件相继出现，并且影响重大。比如Babuk、Luna、Revil等，都是针对vSphere的勒索软件，它们通常会使用一个ESXi加密器，对受害系统后缀为.vmdk、.vmsn、.dll等重要文件进行加密，导致系统崩溃或者重要信息无法查看，对企业造成巨大损失。

勒索攻击链

APT组织

由于vCenter集权设施的特性，涉及资产多，应用范围广。它也逐渐成功了APT组织的攻击目标，APT组织攻击vCenter的目的和勒索组织的目的有很大区别，他们目的不是一次性地加密文件，实施勒索，而是对受害目标进行长期控制，持续窃取数据。

APT攻击链

四、如何发起攻击？

不管是针对vCenter的勒索攻击，还是针对vCenter的APT，它们的共同点都是利用vCenter平台的漏洞或者缺陷进行攻击,以下是攻击者实施攻击的技能矩阵。

信息探测

信息探测作为攻击的初始环节，是攻击成功的关键所在，攻击者可以利用一种或多种技术手段对vCenter平台的版本、敏感文件、用户、密码、服务端口等信息进行探测。在这个阶段，攻击者可利用的常见信息探测方法包括SOAP版本探测、密码爆破、密码喷洒、PSQL敏感信息查询、LDAP敏感信息查询、vCenter备份文件泄露等。

权限获取

有了第一阶段的信息探测，攻击者通常已经获取到了vCenter平台的相关敏感信息，这一阶段就是通过各种Nday和0day对vCenter平台进行攻击，以获得对vCenter的初始访问权限。一般情况下，可根据所掌握的目标相关信息，利用CVE-2021-21985、CVE-2021-22005、log4j2 JNDI等方式去获取目标权限。

权限维持

权限维持也就是持久化，它是vCenter后渗透中一个重要的攻击手段。攻击者在获取vCenter管理员权限之后，会针对vCenter的技术特点在服务器中遗留后门以达到对vCenter进行持久控制的目的。常见的持久化方法有LDAP新增账户、强制重置用户密码、高权限角色赋予等。

防御绕过

日志通常会记录系统上的敏感操作（访问记录、操作记录等），以此为依据来定位攻击，是常见的防御方式。基于此种情况，攻击者会想办法绕过防御。比如可能会禁用日志记录、清除日志、关闭安全监控软件、Syslog-Hook、非常用API功能调用等方式来绕过防御，实现静默攻击的目的。

虚拟机权限获取

攻击者在拿到vCenter web控制台权限后，发现很多重要的系统处于锁屏状态，如果这时想要获取这些虚拟机的权限，那么就可以通过Kon-Boot利用、VMDK文件挂载、快照读取HASH、利用PE挂载等方式，去拿到虚拟机的权限。

虚拟机逃逸

攻击者在通过攻击虚拟机上的业务系统获得虚拟机权限之后，一般会尝试利用虚拟机逃逸漏洞，它能够导致攻击者突破限制去控制ESXi。实现感染宿主机或者在宿主机上运行恶意软件。

以上攻击阶段不是孤立的、一成不变的，相反，它是灵活多变的，通过结合以上攻击阶段的各种方法，攻击者会构建一条条的针对vCenter平台的攻击链，实现他们的攻击目的，针对vCenter各个阶段攻击手法的详细解析，可参考《ITDR之vSphere白皮书》中vSphere攻击技战法一章。

五、准备好保护您的vCenter了吗

VMware公司体量庞大，vCenter平台应用范围广、管理资产多，因此，vCenter深受攻击者青睐，成为他们的重点攻击目标。基于vCenter所面临的威胁，vCenter急需一套优秀的威胁检测与响应方案来保障其自身的安全。

vCenter安全加固最佳实践

对于vCenter的防护，我们可以参考VMware官方的最佳实践，其中提到了对于vSphere的各个组件，包括vCenter、ESXi等各个方面的防护措施，我们对官方的最佳实践做了深入分析及落地，细节可参考《ITDR之vSphere白皮书》中vSphere加固一章，其中详细描述了加固策略、权限管理、密码策略管理等方面的具体加固措施。

中安网星ITDR（身份威胁检测与响应）平台

ITDR（身份威胁检测与响应）平台是中安网星推出的针对身份威胁检测与响应高级威胁分析平台。主要围绕Identity及Infrastructure为核心进行防护，涵盖主流身份基础设施及集权设施，围绕从攻击的事前加固、事中监测，事后阻断出发，产品的设计思路覆盖攻击者活动的全生命周期。

ITDR平台同样具备针对主流集权设施vCenter平台全流程防御方案，场景架构如下图所示:

vCenter全流程防御方案