Команды администрирования ESXi

Злоумышленники могут злоупотреблять службами администрирования ESXi для выполнения команд на гостевых машинах, размещенных в виртуальной среде ESXi. Постоянные фоновые службы на виртуальных машинах, размещенных на ESXi, такие как служба демона VMware Tools, позволяют удаленное управление с сервера ESXi. Служба демона инструментов работает как `vmtoolsd.exe` в гостевых операционных системах Windows, `vmware-tools-daemon` в macOS и `vmtoolsd` в Linux. Злоумышленники могут использовать различные инструменты для выполнения команд на виртуальных машинах, размещенных на ESXi — например, используя vSphere Web Services SDK для программного выполнения команд и скриптов через API, такие как `StartProgramInGuest`, `ListProcessesInGuest`, `ListFileInGuest` и `InitiateFileTransferFromGuest`. Это может обеспечить дальнейшее поведение на гостевых виртуальных машинах, такое как Обнаружение файлов и каталогов, Данные из локальной системы или Извлечение учетных данных ОС.