LOLESXi, VMware ESXi sistemlerinde yerel olarak bulunan ve saldırganların kötü amaçlı faaliyetlerinde kullandığı binary ve scriptleri belgeleyen bir projedir. Bu tür binary ve scriptler VMware ESXi sistem yöneticileri tarafından sistem yönetimi ve bakım görevlerinde meşru olarak kullanılmak üzere tasarlanmış olsa da saldırganlar bu araçları güvenlik yazılımlarından kaçınarak kullanabilir. Bu teknik saldırganların kötü amaçlı dosyalar eklemek yerine mevcut güvenilir araçları kullanmasına dayanan “Living Off The Land” (LOTL) yaklaşımı olarak bilinir.
LOLESXi projesinin temel hedefi; VMware ESXi ortamlarında yerel olarak mevcut olan ve saldırganlar tarafından kullanılan binary ve scriptleri tanımlamaktır. Bu araçların belgelenmesi sayesinde, siber güvenlik uzmanları bu scriptlerin nasıl kullanıldığı hakkında bilgi edinir ve savunma stratejilerini güçlendirebilir. Proje aynı zamanda bu araçları detaylandırarak güvenlik araştırmacılarına ve güvenlik ekiplerine daha etkili tespit yöntemleri sunmayı hedeflemektedir.
- LOLESXi, VMware ESXi sistemlerinde bulunan ve saldırganlar tarafından kötüye kullanılan yerel binary ve scriptlerin ayrıntılı bir listesini sunar.
- Bu proje, Janantha Marasinghe tarafından başlatılan ve Wietze Beukema‘nın katkılarıyla büyüyen bir topluluk projesidir. LOLBAS projesi Windows sistemleri için benzer bir tema sunarak LOLESXi’nin ilham kaynağı olmuştur.
- Bu proje açık kaynaklı tehdit araştırmalarından elde edilen bilgileri derleyerek siber güvenlik profesyonelleri ve kurumlar için değerli bir kaynak sunar.
- MITRE ATT&CK Haritalaması: LOLESXi, MITRE ATT&CK çerçevesine uygun olarak saldırganların bu binary ve scriptleri nasıl kullandığını haritalandırır. Kullanıcılar bu haritalamayı ATT&CK Navigator üzerinden keşfedebilirler.
UNIX benzeri sistemlerde kötüye kullanılabilecek binaryler için, proje gtfobins.github.io adresini ziyaret etmeyi önermektedir. Kötü amaçlı veya güvenlik açıklarına sahip sürücülerle ilgili bilgi almak isteyenler LOLEDrivers projesini loldrivers.io adresinde bulabilir. Windows sistemlerine yönelik yerel binary ve scriptlerin belgelendiği LOLBAS projesi, lolbas-project.github.io adresinde incelenebilir.
LOLESXi, Belirli işlevsellikler saldırganlar için özellikle ilgi çekici olabilir. Bu işlevsellikler şunları içerir:
- İşlem Sonlandırma: Çalışan işlemleri durdurmak, güvenlik araçlarını devre dışı bırakmak için kullanılabilir.
- VM Listesi: Sanal makinelerin listesini almak, sistemin yapısını anlamak için kullanılır.
- Çalışan VM’i Sonlandırma: Hedef sistem üzerindeki sanal makineleri kapatma veya durdurma.
- Sistem Bilgisi: Sistem yapılandırmasını ve kaynaklarını keşfetmek.
- Hesapların Listelemesi: Sistemdeki kullanıcı hesaplarını keşfetmek ve hedef belirlemek.
- Dosya Bulma: Önemli verileri veya hassas bilgileri içeren dosyaları bulma.
- Kanıtları Kaldırma: İz bırakmadan hareket etmek için kanıtları silme veya gizleme.
- Dosya İzni Değiştirme: Dosya erişim izinlerini değiştirerek belirli verilere erişimi sağlama.
- Depolama Keşfi: Mevcut disk ve depolama yapısını anlamak.
- Servisi Etkinleştirme: Saldırganın işine yarayacak hizmetleri etkinleştirme.
- Başlangıç Hizmetini Devre Dışı Bırakma: Kritik sistem hizmetlerini devre dışı bırakarak tespit edilme riskini azaltma.
- Kurtarma Engelleme: Sistem kurtarma süreçlerini engellemek ve sistemi daha savunmasız hale getirme.
- VM’i Kapatma: Hedef sanal makineleri kapatarak hizmet kesintisi yaratma.
- Servis Durdurma: Belirli servisleri durdurarak işleyişi kesintiye uğratma.
- Performans Ayarlama: Sistem performansını değiştirerek saldırıyı gizleme veya hızlandırma.
- Dosya Değiştirme: Mevcut dosyaları manipüle etme veya değiştirme.
- Zaman Damgasını Değiştirme (Timestomp): Dosyaların değiştirilme zamanını değiştirerek izlerin gizlenmesi.
- Sanal Makine Image Bilgilerini Değiştirme: Sistem ekranında yanlış bilgiler göstererek dikkat dağıtma.
- Servisi Devre Dışı Bırakma: Belirli servisleri devre dışı bırakarak sistemi savunmasız bırakma.
- Ağ Bilgilerini Keşfetme: Sistem ağ yapılandırmasını öğrenmek.
- Yazılım Operasyonları: Yazılımları kontrol etme, kurma veya kaldırma.
LOLESXi projesi VMware ESXi sistemlerinde yerel olarak bulunan araçların nasıl kötüye kullanılabileceğini belgeleyerek siber güvenlik profesyonellerine önemli bilgiler sağlar. Bu binary ve scriptler saldırganların izlerini gizleyerek ve sistem üzerinde kontrol sağlayarak hedeflerine ulaşmasına yardımcı olabilir. Güvenlik toplulukları bu proje sayesinde VMware ESXi ortamlarında kullanılan yerel araçların kötüye kullanımını tespit etmeye yönelik farkındalıklarını artırabilir ve güvenlik sistemlerini bu doğrultuda güçlendirebilir.
https://github.com/LOLESXi-Project
