亨垂思(Huntress)战术响应团队在一份新报告中披露,2025 年 12 月监测到一起技术高度复杂的入侵事件,威胁行为者成功实施“虚拟机逃逸” 攻击—— 突破客户机虚拟机的隔离限制,夺取了底层 VMware ESXi 虚拟化管理程序的完全控制权。
此次攻击所利用的工具包,早在公开披露前一年就已作为零日漏洞利用工具开发完成。这起事件的发生,直接对虚拟化技术 “安全隔离” 的核心设计承诺发起了挑战。
入侵的开端并非源于某个复杂的零日漏洞,而是出自一个极为典型的安全疏漏:某台 SonicWall VPN 设备的账户信息遭到窃取。以此为突破口,攻击者从备份域控制器横向渗透至主域控制器,最终部署了一个由名为“主控程序”(MAESTRO,恶意程序文件名为 exploit.exe)的二进制文件所操控的攻击工具包。
该工具包会按步骤瓦解目标主机的各类防御机制:它先禁用 VMware 原生驱动程序以获取硬件的直接访问权限,再利用“自带易受攻击驱动程序”(BYOVD)技术,将一个未经签名的恶意驱动程序
MyDriver.sys加载至 Windows 内核中。报告发出警示:“虚拟机的隔离并非绝对安全。”“虚拟化管理程序一旦存在漏洞,攻击者就能够突破客户机虚拟机的限制,进而攻陷主机上承载的所有业务负载。”
攻击者在实现 VMX 沙箱逃逸后,并未使用易被防火墙检测的常规网络连接,而是部署了一款名为“VSOCK 傀儡程序”(VSOCKpuppet)的后门工具。
这款恶意软件通过虚拟套接字(VSOCK) 实现通信 —— 该接口是一种专为主机与客户机交互设计的高速通信通道。攻击者劫持这一通道后,构建出一条隐秘的命令执行链路,彻底绕过了传统的网络监控手段。
分析报告指出:“利用虚拟套接字(VSOCK)进行后门通信的行为,存在极大的安全隐患。这种方式能完全规避传统网络监控,大幅提升攻击的隐蔽性和检测难度。”
亨垂思的研究人员在该攻击工具包的开发路径中,发现了简体中文字符串,其中包含一个名为“全版本逃逸–交付”的文件夹。
从代码内的时间戳信息可以推断,这款攻击武器早在2024 年 2 月就已开发完成 —— 比 VMware 官方公开披露相关漏洞(漏洞编号:CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)的时间,提前了一年有余。
“程序数据库(PDB)路径中暴露的开发时间线告诉我们,这款漏洞利用工具在 VMware 官方披露漏洞前,已作为零日漏洞工具存在了一年以上。这一事实凸显出,资源充足且能够获取未修补漏洞的威胁行为者,会带来持续且严峻的安全威胁。”
这款攻击工具包被设计成一把 “通用密钥”,可适配涵盖 5.1 至 8.0 版本的 155 个 ESXi 系统版本。
亨垂思建议各企业组织:停止单纯依赖网络边界防御,转而直接对 ESXi 主机上的异常进程展开监测。“及时为 ESXi 系统部署安全补丁…… 如果仍在运行已终止支持的版本,设备将处于无补丁可用的暴露状态。”
发表评论
您还未登录,请先登录。
登录