LOLESXi：探索VMware ESXi下的原生行为

LOLESXi：探索VMware ESXi下的原生行为

LOLESXi LOLESXi is a curated compilation of binaries/scripts available in VMware ESXi that are were used to by adversaries in their intrusions. This project gathers procedural examples from public reports of adversarial activities targeting ESXi hosts 项目地址: https://gitcode.com/gh_mirrors/lo/LOLESXi

项目介绍

LOLESXi 是一个精选列表，记录了通过公开报告观察到的在 VMware ESXi 系统中“就地生存”（Living off the land）的行为。该项目旨在识别、跟踪和记录攻击者在进攻行动中使用的原生 VMware ESXi 二进制文件和脚本，以提高安全意识和检测能力。

项目技术分析

LOLESXi 项目涉及的技术核心是 VMware ESXi 的原生二进制文件和脚本。这些文件和脚本由于是系统自带，通常不会被安全检测工具视为威胁，因此攻击者会利用它们进行隐蔽的操作。项目收集的这些工具和行为包括但不限于以下功能：

• 终止进程
• 列出虚拟机
• 终止运行的虚拟机
• 系统信息
• 账户枚举
• 查找文件
• 清除证据
• 查找并替换
• 修改文件权限
• 发现存储
• 启用服务
• 禁用启动
• 禁止恢复
• 虚拟机关机
• 停止服务
• 调整性能
• 替换文件
• 时间戳修改
• 修改显示信息
• 禁用服务
• 修改服务
• 发现网络信息
• 软件操作

项目及技术应用场景

LOLESXi 的主要应用场景在于网络安全领域，特别是针对虚拟化环境的安全检测与防御。以下是一些典型的应用场景：

• 安全检测： 通过了解和识别攻击者可能使用原生命令的方式，安全分析师能够增强检测和防御策略。
• 安全训练： 渗透测试人员和红队成员可以使用这个列表来训练和测试他们的攻击技巧。
• 防御策略： 安全团队可以使用这个列表来制定和优化他们的防御策略，提高对虚拟化环境攻击的识别能力。

项目特点

LOLESXi 项目的特点如下：

• 精选列表： 项目只收录经过验证的原生 VMware ESXi 行为，确保信息的准确性和实用性。
• 持续更新： 随着新的攻击技术和手段的出现，项目会持续更新，保证信息的时效性。
• 社区支持： LOLESXi 项目的维护和更新依赖于一个活跃的社区，共同提高虚拟化环境的安全水平。
• 开源精神： 作为一个开源项目，LOLESXi 鼓励用户贡献新的发现和行为，共同推动项目的发展。

LOLESXi 项目的创建灵感来源于 Anurag Khanna 和 Thirumalai Natarajan 在 SANS DFIR Summit 2023 上的演讲《Defending and Investigating Hypervisors》。该项目的维护者是 [@blueteam0ps_]，并且有其他贡献者如 [@wietze] 在个人时间帮助维护项目。

LOLESXi 项目遵循“就地生存”（Living off the land）的核心理念，这一概念最早由 Christopher Campbell 和 Matt Graeber 在 DerbyCon 3 上提出。项目的主题和设计灵感来自于 LOLBAS 团队和 Flaticon 设计师 juicy_fish。

LOLESXi 项目为网络安全领域提供了一个宝贵的资源，帮助安全专家更好地理解和防御虚拟化环境中的威胁。通过收集和记录 VMware ESXi 的原生行为，这个开源项目为网络安全社区提供了重要的信息和工具，助力于构建更安全的数据中心和企业环境。

LOLESXi LOLESXi is a curated compilation of binaries/scripts available in VMware ESXi that are were used to by adversaries in their intrusions. This project gathers procedural examples from public reports of adversarial activities targeting ESXi hosts 项目地址: https://gitcode.com/gh_mirrors/lo/LOLESXi