2026-04-13 04:11:27 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文基于谷歌威胁情报小组的vCenter和ESXi安全指南，指出威胁行为者利用虚拟化层可见性差距建立持久性控制。指南提出四阶段防御框架：基准测试与基础控制、身份管理、网络强化、日志记录与取证。关键建议包括实施STIG安全基线、启用vSphere加密、采用PAW/PAM特权管理、构建零信任网络分段。通过将基础设施作为第一道防线，可有效检测和阻止BRICKSTORM等高级威胁。 综合评分： 87 文章分类： 解决方案,技术标准,安全建设,云安全,威胁情报

cover_image

谷歌威胁情报小组vCenter 和 ESXi 防御者指南

原创

Mandiant Mandiant

暗镜

2026年4月11日 06:01 北京

在小说阅读器读本章

去阅读

介绍

本文基于谷歌威胁情报小组 (GTIG) 近期发布的vCenter Server Appliance (VCSA) 和 ESXi 安全加固指南。

通过在虚拟化层建立持久性，威胁行为者可以在客户操作系统底层进行活动，而传统的安全防护措施在该层无效。这种策略利用了显著的可见性差距，因为这些控制平面不支持标准的端点检测与响应 (EDR) 代理，而且与传统端点相比，它们历来受到的安全关注较少。

此活动并非源于供应商产品或基础设施的安全漏洞。相反，这些入侵依赖于对薄弱的安全架构和身份设计、缺乏基于主机的配置强制执行以及虚拟化层可见性不足的利用。通过在这些未受监控的区域内活动，攻击者可以建立长期持久性，并获得对整个 vSphere 环境的管理控制权。

本指南提供了一个以基础设施为中心的防御框架。为了帮助自动化部分指导并保护控制平面免受 BRICKSTORM 等威胁的侵害，Mandiant 发布了一个vCenter 加固脚本，该脚本可直接在 Photon Linux 层强制执行这些安全配置。通过实施这些建议，组织可以将虚拟化层转变为一个能够检测和阻止持续性威胁的加固环境。

vCenter Server Appliance 风险分析

vCenter Server Appliance (VCSA) 是 vSphere 基础架构的控制和信任中心。VCSA 运行在专用的 Photon Linux 操作系统上，通常托管关键的 Tier-0 工作负载，例如域控制器和特权访问管理 (PAM) 解决方案。这意味着底层虚拟化平台与其支持的高度敏感资产具有相同的分类和风险等级。

vCenter 控制平面一旦遭到破坏，攻击者便可获得对所有受管 ESXi 主机和虚拟机的管理控制权，从而使传统的组织分层架构失效。由于 VCSA 是专用设备，仅依赖开箱即用的默认设置往往不足以满足需求；要达到 Tier-0 安全标准，需要在 vSphere 层和底层 Photon Linux 层进行有意设计的自定义安全配置。

对于威胁行为者而言，VCSA 提供以下信息：

集中式命令：此功能可关闭、删除或重新配置任何虚拟机，并可重置任何受管 ESXi 主机上的 root 凭据，从而提供对虚拟机管理程序的完全控制。
完全数据访问：绕过操作系统权限和传统文件系统安全机制，直接访问每个应用程序的底层存储（VMDK）。这为从第 0 层资产窃取数据提供了一条直接途径。
命令行日志记录漏洞：如果攻击者通过安全外壳 (SSH) 获得对底层 Photon OS shell 的访问权限，则不会对 shell 命令进行远程日志记录。

管理平面依赖关系

许多组织将 Active Directory 域控制器作为虚拟机 (VM) 托管在同一个 vSphere 集群中，该集群由一个本身已集成 AD 的 vCenter 管理。如果攻击者禁用虚拟网络或加密数据存储，vCenter 将失去对管理员进行身份验证的能力。在 VCSA 被加密或擦除的情况下，大规模恢复所需的工具也将丢失。这迫使组织依赖于通过单个 ESXi 主机进行手动恢复，从而成倍延长恢复时间。

vSphere 7 生命周期结束

vSphere 7 将于 2025 年 10 月停止支持 (EoL)。对于存在此类遗留技术债务的组织而言，其 vSphere 软件将进入一个过渡期（直至升级），在此期间，他们将无法再收到关键的安全补丁。这将为攻击者提供可乘之机，利用那些无法修复的已知漏洞。

主动措施的战略优势

为了确保控制平面的安全，组织应该采取一种策略，使基础设施本身作为第一道防线。

有效的防御依赖于两种策略：

技术加固：应在虚拟机管理程序层应用纵深防御以缩小攻击面。攻击者会利用不安全的默认设置。加固措施，例如启用安全启动、严格防火墙保护管理接口以及禁用 shell 访问，可以增加攻击阻力。当攻击者试图向启动文件写入持久化脚本/etc/rc.local.d或修改启动文件时，加固的配置可以阻止该操作，或者迫使攻击者使用会产生过多日志遥测数据的方法。
高保真信号分析：威胁行为者擅长轮换基础设施和重新编译工具来改变其特征码。依赖恶意 IP 地址黑名单或已知恶意软件哈希数据库并非有效策略，因为威胁行为者会利用命令与控制服务器和本地二进制文件。因此，重点应完全转移到行为模式上。

本指南以基础设施本身作为第一道防线的战略基础为基础，概述了技术执法的四个阶段：

第一阶段：基准测试和基础控制——通过安全技术实施指南 (STIG) 和补丁程序建立基础。
第二阶段：身份管理——通过 PAW 和 PAM 解决方案加强对关键基础设施的管理访问。
第三阶段：vSphere 网络强化——通过零信任网络消除横向移动。
第四阶段：日志记录和取证可见性——将设备转变为主动安全传感器。

第一阶段：基准测试和基础控制

通过实施以 Photon Linux DISA STIG 和 VMware 安全加固指南为中心的增强型安全基线，组织可以加固攻击者攻击的目标操作系统级组件。

关键框架：

VMware vSphere 7.0 VCSA Photon OS STIG
VMware vSphere 8.0 VCSA Photon OS STIG
VMware vSphere 安全加固指南

STIG 控制映射到攻击者 TTP

STIG 控制映射

vSphere 基础架构级数据泄露

标准的 vSphere 配置通常会将虚拟机克隆和导出等高风险权限隐藏在通用管理角色中，使这些操作能够融入日常操作的背景噪音中。这种架构为攻击者提供了悄无声息地窃取域控制器或凭据库数据的手段。组织应从宽松的 vSphere 访问控制模型过渡到全面的加密强制策略。

数据泄露防范建议控制措施

要抵御 vSphere 数据泄露，就需要转变对高价值虚拟资产的管理方式：

强制执行 Tier-0 加密：强制执行 vSphere 原生虚拟机加密是所有关键 Tier-0 虚拟机的首要且最关键的控制措施。组织应强制要求每个域控制器、证书颁发机构和密码库在虚拟机级别进行加密。
加密隔离：第 0 层资产应采用独立的密钥锁定加密策略。通过为这些工作负载强制使用独立的密钥管理服务器 (KMS) 集群，组织可以确保攻击者无法在没有访问安全硬件支持的密钥库的情况下解锁克隆磁盘。
权限解耦：应从标准管理角色中移除“克隆”和“导出”权限。这些功能应重新分配给一个高度受限、可审计的“紧急恢复”身份，该身份仅用于紧急恢复场景。

第二阶段：身份管理

vSphere 中身份管理的最佳实践侧重于强制所有 vSphere 管理会话都源自专用特权访问工作站并使用 PAM，同时通过限制 vpxuser shell 访问来强制执行主机级加固。

特权访问工作站 (PAW)

为防止攻击者从受感染的用户终端或设备跳转到虚拟化管理平面，管理会话应从专用的 PAW 发起。PAW 是一台专用的加固工作站，仅在与 vSphere 管理功能或接口交互时使用。

特权访问管理 (PAM)

特权访问管理 (PAM) 工具作为中间层，用于缓解诸如BRICKSTEAL凭证窃取之类的特定威胁。通过强制执行凭证注入，组织可以确保密码永远不会被手动输入或存储在目标系统的内存中，从而避免恶意软件拦截。应强制执行自动密钥轮换，以缩短任何已泄露凭证的有效期，尤其是 root 密码和服务帐户密钥。

身份验证和平台加固

默认vsphere.local 单点登录 (SSO) 域中的帐户，尤其是内置的超级用户[email protected] 帐户，由于不支持现代多因素身份验证 (MFA) 集成，因此存在特殊的安全风险。鉴于此限制，组织应限制此类vsphere.local帐户用于日常管理；相反，应将其视为紧急“破冰”凭证，并使用复杂且高度安全的密码进行保护。

vSphere VPXUSER

这vpxuser是 vCenter 在每个受管主机上配置的高权限系统帐户，用于促进核心基础架构管理操作。

拥有 VCSA 管理权限的威胁行为者实际上继承了vpxuser 整个受管集群的委派权限。这种权限使得攻击者能够从管理层面跳转到主机级 shell。

主要缓解措施（vSphere ESXi 8.0+）：禁用 Shell 访问

为了缓解这种横向移动风险，vSphere 8.0 引入了一项技术控制措施，允许管理员移除vpxuser帐户的 shell 访问权限。请在所有 ESXi 8.0 及更高版本的主机上强制执行以下配置，以限制身份访问vpxuser：

esxcli system account set -i vpxuser -s false

ESXi主机身份加固策略

为防止通过其他机制（例如篡改主机配置文件）绕过安全防护，还采取了以下加固措施：

ESXi主机加固

第三阶段：vSphere 网络加固

保护虚拟化网络

建立 vSphere 零信任网络态势是确保弹性 Tier-0 架构安全的基础。由于 vCenter Server Appliance (VCSA) 和 ESXi 管理程序缺乏对本地特权帐户的原生多因素身份验证 (MFA) 支持，因此基于身份的验证不足以作为单一的安全措施。一旦攻击者获取了这些凭据，逻辑网络架构就成为唯一能够阻止攻击者访问 vSphere 管理平面的防御层。

| | | — | | 严格的分段架构将物理网络隔离与基于主机的微隔离相结合，作为最终的安全保障；通过系统地消除从不受信任的区域到管理区域的所有逻辑网络路径，可以消除底层攻击向量，确保 BRICKSTORM 入侵在物理和逻辑上都无法破坏 vCenter 控制平面。 |

消除内部攻击途径：

图：vSphere 零信任网络和检测

1. 不可变虚拟局域网 (VLAN) 分段

组织应通过不同的 802.1Q VLAN ID 来强制执行隔离。威胁行为者会利用“扁平化”或分区不合理的网络，在低安全/低信任区域（例如非军事区 [DMZ] 或边缘设备）遭到入侵后，攻击者可以直接路由到管理 VAMI（端口 5480）或获得对 VCSA（端口 22）高信任网络段的 shell 访问权限。

第 2 层分割

2. 路由作为安全屏障

目标是将管理网络转变为安全区域。位于标准企业子网或 Wi-Fi 网络上的威胁行为者应无法与虚拟安全架构 (VCSA) 进行物理通信。

A. 虚拟路由和转发 (VRF) 分段

操作：将所有基础架构 VLAN 迁移到核心路由层的专用 VRF 实例中。
战略影响：这将创建一个明确的路由表。即使“用户”或“访客”VRF 完全被攻破，网络硬件也无法访问“管理”VRF，从而阻止横向移动，即使物理上相邻。

B. 特权管理员工作站（PAW 专属访问权限）

操作：拆除从通用企业局域网到管理子网的所有直接路由。
战略影响：对管理子网的访问应源自指定的 PAW IP 地址范围/子网。所有其他内部子网，包括标准用户工作站和客户虚拟机，都应禁止访问，或在网关处设置明确的拒绝策略。这将迫使攻击者在连接到 VCSA 之前，先尝试攻破 PAW（一个安全防护更为严密、监控更为严格的目标）。

3. 强化周界出入口过滤

这些规则应在作为管理子网网关的硬件防火墙或三层核心层强制执行。由于 VCSA 基于 GUI 的原生防火墙在架构上无法强制执行出站策略，因此上游网络网关应强制执行此策略。组织应实施严格的出站策略，以确保即使 VCSA 遭到入侵，也无法连接到恶意命令与控制基础设施或窃取 Tier-0 数据。

A. 入口过滤（进入管理界面）

| | | | | | | — | — | — | — | — | | 来源 | 目的地 | 协议/端口 | 政策 | 减轻 | | PAW | 管理 VLAN | TCP/443 | 允许 | 授权的 vSphere Client/API 访问 | | PAW | ESXi VLAN | TCP/902 | 允许 | 安全远程控制台 (MKS) 访问 | | ESXi | VCSA IP | TCP/443 | 允许 | ESXi主机与vCenter通信 | | 备份 | VCSA IP | TCP/443 | 允许 | 备份 API 访问 | | 监测 | 管理 VLAN | ICMP Ping UDP/161（SNMP） | 允许 | 已验证的基础设施健康探测 | | 任何 | 管理 VLAN | TCP/22 | 否定 | 强制阻止 SSH 连接。仅允许通过 PAW 协议访问 shell。 | | 任何 | 管理 VLAN | TCP/5480 | 否定 | 强制启用 VAMI 管理权限。防止未经授权的管理功能启用。 | | 客户虚拟机 | 管理 VLAN | 任何 | 否定 | 消除所有东西向横向移动路径 |

入口过滤

B. 出口过滤（来自 VCSA/管理的出站流量）

| | | | | | | — | — | — | — | — | | 来源 | 目的地 | 协议/端口 | 政策 | 减轻 | | VCSA | 内部 DNS | UDP/TCP 53 | 允许 | 限制 DNS 仅供受信任的内部解析器使用。 | | VCSA | 远程系统日志 | TCP/6514 | 允许 | TLS 加密遥测数据。SIEM 可见性所必需。 | | VCSA | VMware Update Manager 的公共 IP | TCP/443 | 允许 | 严格限制为“162.159.140.167”和“172.66.0.165”（VMware 更新服务器）。 | | VCSA | 身份提供商 | TCP/443 | 允许 | 联合身份验证（Okta/Entra）必需 | | VCSA | 内部子网 | 任何 | 否定 | 阻止内部扫描。防止 VCSA 到内部的转换。 | | VCSA | 互联网（任何） | 任何 | 否定 | 抑制 C2。阻止 DoH、SOCKS 代理和数据外泄。 |

出口过滤

关于微隔离的说明：物理防火墙负责保护管理平面（南北向），而 VMware NSX 分布式防火墙 (DFW) 是控制客户机间（东西向）流量的必要标准。在适用情况下，应使用 NSX 来保护数据平面，而物理网络硬件仍然负责管理平面的控制。

适用于 VCSA 和 ESXi 的基于主机的防火墙

为了构建强大的纵深防御体系，应将基于主机的防火墙与基于网络的防火墙配合使用。网络防火墙虽然能够有效管理“南北”流量（进出子网），但却无法监控同一 VLAN 内的东西向流量。而基于主机的防火墙则能够阻止位于同一网段的攻击者。通过在终端端实施安全策略，企业可以确保访问路径不会授予对 vSphere 控制平面的逻辑权限。

VCSA 基于主机的防火墙（Photon OS）

VCSA 防火墙通过虚拟设备管理接口 (VAMI) 进行管理，是一种原生控制措施，可防止来自受感染的“可信”实体（例如共享管理 VLAN 的备份服务器或监控设备）的横向移动。该防火墙应作为第一层防御措施，在主机网络层强制执行“最小权限原则”。

战略实施：默认策略应改为“默认拒绝”。您应该为每个管理服务明确定义授权的 IP 地址。

VAMI GUI 防火墙的局限性

虽然 VCSA 中的基于主机的防火墙是纵深防御策略的必要组成部分，但管理员应该认识到，标准 VAMI GUI 在防御威胁行为者方面存在以下操作限制：

端口粒度不足：VAMI GUI缺乏真正零信任模型所需的精确度。在所有版本中，为特定服务器（例如虚拟备份服务器）创建基于 IP 的规则都强制采用“要么全有，要么全无”的方式。为了授予该服务器对TCP 443 端口上的 vSphere API 的合法访问权限，管理员通常被迫信任该 IP 的所有端口。

风险：这同时赋予备份服务器对高度敏感的管理接口（例如SSH (22)和VAMI (5480)）的未经授权的访问权限。如果攻击者攻破了备份服务器，他们就能获得一条畅通无阻的 VCSA shell 管理路径。
循环管理依赖：vCenter 主机级防火墙的一个根本缺陷在于其在旨在保护的管理平面中的逻辑位置。该防火墙通过 VAMI 进行管理，VAMI 是一个位于 TCP 端口 5480 的辅助管理入口点。该接口在逻辑上与标准 vSphere Client（TCP 端口 443）相邻，并且经常暴露在相同的管理网络段中。风险

：通过 VAMI 捕获的凭据BRICKSTEAL赋予攻击者重新配置设备本身的权限。攻击者通过跳转到 VAMI，可以利用其被攻破的角色来停用防火墙。这种循环依赖确保防火墙由其旨在保护的应用程序本身进行管理，从而使攻击者能够使用系统自身的管理工具来禁用控制功能。
取证可见性缺陷：标准的 VAMI 防火墙设计用于连接管理，而非安全监控。它不会为被拒绝的连接尝试或特定的 shell 活动生成远程日志。

风险：这使得安全团队无法察觉主动的横向移动。攻击者可以从未经授权的虚拟机多次扫描 VCSA，或使用未受监控的 VCSA shell；由于防火墙不会在阻止连接时发出通知，且 shell 命令不会被记录，因此安全运营中心 (SOC) 直到攻击的最后阶段才会意识到入侵尝试。
仅入站策略可见性缺陷：图形用户界面主要关注入站流量，而出站（出口）策略则未得到管理。

风险：现代恶意软件（例如BRICKSTORM后门程序）依赖于出站“回传”（C2）流量来接收命令。如果防火墙不限制出站流量，则受感染的虚拟计算机安全架构 (VCSA) 可以不受限制地与外部恶意基础设施通信。

为了克服原生 VAMI 防火墙的这些局限性，建议组织考虑从基于原生 vSphere GUI 的管理过渡到使用底层 Photon Linux iptables 或 nftables 的操作系统级加固。

防篡改完整性：通过在 Photon Linux 操作系统级别直接实施细粒度的防火墙规则，这些控制措施将独立于 vCenter 应用程序权限。即使 vCenter 管理员账户被攻破，也无法通过 VCSA GUI 禁用 Photon 操作系统级别的规则。
细粒度逻辑：操作系统级别的规则允许严格的“源 IP + 目标端口”映射，确保备份服务器只能看到端口 443，而所有其他端口都被拒绝。
转变为传感器：与 VCSA GUI 不同，Photon OS 级日志记录可以“桥接到”安全信息和事件管理 (SIEM)，从而将每次被拒绝的连接尝试转换为高保真度的早期预警警报。

VAMI GUI 防火墙应被视为基础安全控制措施，而非全面的 Tier-0 安全控制措施。为了有效缓解高级攻击活动所需的攻击向量，组织应绕过存在漏洞的 GUI，并在 VCSA Photon Linux 内核级别强制执行经过严格验证、细粒度控制且记录日志的防火墙策略。

ESXi Hypervisor 防火墙

ESXi 防火墙是一个位于 VMkernel 和网络之间的有状态数据包过滤器。将各个服务限制在授权的管理 IP 地址范围内，是阻止同一 VLAN 上的攻击者访问主机 API 或 SSH 端口的唯一方法。

战略实施：应在服务级别限制访问，方法是取消选择“允许来自任何 IP 地址的连接”，并输入特定的管理 IP 地址。

强化作为检测赋能手段

当基础设施配置为“默认拒绝”状态时，便会造成必要的阻力，从而暴露威胁行为者。在未加固的环境中，攻击者的端口扫描或横向移动尝试往往悄无声息且成功；而在加固的环境中，同样的行动则会成为入侵的标志。

多层信号链

网络级可视性：检测始于传输层。组织应确保在物理网络和虚拟交换机 (VDS) 层启用日志记录。这使得安全运营中心 (SOC) 能够跟踪威胁行为者的“路径”，识别其在穿越子网向 vSphere 管理平面移动过程中的未经授权的扫描或连接尝试。
基于主机的防火墙日志记录（IPtables）：虽然 VCSA 为其防火墙提供了管理 GUI，但它本身并不记录被拒绝的访问。要将设备转换为传感器，基于主机的防火墙日志记录完全依赖于自定义的操作系统级 IPtables 配置。通过在底层 Photon OS 内核中添加日志目标，每个被拒绝的数据包都会被记录下来，从而证明有未经授权的威胁行为者试图访问 VCSA。
不可变日志记录：启用远程系统日志转发后，这些被拒绝的日志会立即卸载。即使攻击者最终攻破了主机，也无法删除本地日志源。

早期检测信号

通过将拒绝访问与基于身份的事件关联起来，组织可以在生命周期事件的早期阶段识别出其模式：BRICKSTORM

身份验证失败警报：标准 auth.log（用于 SSH）中的日志条目或 vCenter UserLoginSessionEvent 显示来自未经授权的内部 IP 的“登录尝试失败”是一个高价值警报。
帐户锁定事件：当攻击者尝试暴力破解或使用收集到的凭据攻击本地“破窗”帐户（如 [email protected]）时，产生的“帐户已锁定”事件会发出高优先级信号，表明有针对性的凭据攻击正在进行中。
行为模式关联：当 SIEM 将这些不同的来源关联起来时，就能发出最有力的信号。例如，如果来自同一源 IP 的防火墙丢弃请求（通过 IPtables）紧接着出现登录失败（通过 SSO），则高度可以确定存在入侵尝试。

交换机级别的网络分段是先决条件，但基于主机的防火墙才是 vSphere 零信任架构的主要执行点。通过将基于网络的防火墙与主机级过滤相结合，企业可以消除管理 VLAN 上的可见性盲区，并将 VCSA 和 ESXi 主机转变为传感器，能够在入侵的最初阶段就发现攻击者。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 Mandiant Mandiant《谷歌威胁情报小组vCenter 和 ESXi 防御者指南》