最近两到三年许多勒索软体骇客打造Linux版恶意程式,锁定VMware ESXi虚拟化平台而来,企图瘫痪虚拟机器(VM)的运作并向企业组织勒索,由于ESXi系统鲜少会无预期关机,这种SSH隧道形同为攻击者提供存取企业组织网路环境的后门。
但为何企业组织不太会监控ESXi?Sygnia指出其中一个原因是这种虚拟化平台的事件记录档案分散,与一般的系统事件记录(Syslog)在单一档案留存各种事件的做法不同,光是取得ESXi的主要事件记录档案syslog.log,无法得到资安事故鉴识所需的资料。
即使ESXi可搭配第三方的监控工具或是遥测代理程式,但研究人员认为这类外部工具的可用性往往受限。因此他们觉得较具成本效益的做法,其实是要将ESXi伺服器的事件记录相关档案,转送到外部的事件记录伺服器来因应。
若要察觉上述类型的攻击手法,Sygnia认为,至少要收集4种事件记录的内容,这些涉及ESXi Shell活动(shell.log)、主机代理程式(hostd.log)、身分验证(auth.log),以及VMware效能监控工具Observer处理程序(vobd.log)。