Attaque sur ESXi : deux méthodes pour récupérer ses VM

La campagne contre les serveurs ESXi a incomplètement chiffré les VM. Plusieurs solutions de récupération exploitent ce défaut.

Après la campagne contre les serveurs ESXi, comment récupérer ses VM ? La principale solution que suggère l’ANSSI émane de deux développeurs. Elle s’appuie sur le fait que les disques virtuels ont largement été laissés indemnes, l’attaque touchant surtout les fichiers de configuration associés.

Une méthode automatisée…

Pour automatiser sa mise en œuvre, la CISA (homologue américaine de l’ANSSI) fournit un script. Consigne : l’exécuter dans les dossiers des VM à récupérer. Puis, si cela fonctionne, à réinscrire ces dernières sur ESXi.

Le script ne cherche pas tant à supprimer les fichiers de configuration chiffrés qu’à en créer de nouveaux qui permettront de restaurer l’accès.

…et une manuelle

L’ANSSI signale une deuxième méthode qui exploite le même levier. Dans les grandes lignes, elle implique de :

– Créer une nouvelle VM sur l’hôte ESXi affecté
– Se connecter à l’hôte
– Aller dans le datastore et faire une copie de la VM à récupérer
– Dans le dossier où se trouve cette copie, localiser le fichier de disque virtuel (-flat.vmdk)
– Créer un nouveau fichier de configuration (.vmdk) et supprimer le flat associé
– Renommer le vmdk en fonction du fichier disque de la VM à récupérer
– Dans ce même vmdk, supprimer une ligne et en modifier une autre
– Connecter le vmdk à la VM créée au début, puis y reconstruire la table de partitions

Lire aussi : ESXiargs : le ransomware se fait plus menaçant