ADと連携

ESXiを企業で運用した経験が無いので知らなったが、ADと連携することってあるんですね。
Using Active Directory to Manage ESX Users

管理画面にログイン可能なユーザをADで管理すると。

つまり、ADを侵害すればESXiにも侵入できる可能性がある。

ESXiの管理者を何も考えずに脳死でDomain Adminsにしている構成もあると聞いたので、ESXiを掌握した際にはADも同時に掌握できるということ。

ESXiをアップデートしてください

大体毎年、認証回避などヤバい脆弱性が公開されている。
www.cvedetails.com

なので、アップデートしていなければADよりも先にESXiが掌握される可能性が高い。
www.cisa.gov

ADとESXiを連携していなくとも、ESXi上でAD(DC)サーバが稼働しているなら、それすなわちADの掌握だし、ESXiの仮想マシン暗号化は直ぐに可能な状態になってしまってヤバい。

様々な仮想マシンを稼働させているESXiをアップデートするのは厳しいとは思うが、アップデートしなければ約束された悲劇が待っている。

ESXiはLinuxぽく見えるが、正確にはLinuxとは異なるカスタムされた何か。

確かPhoton OSがベースだったような気が。

とりあえず、sshとかで接続しても普通のシェルでは無いので、通常のLinuxコマンドが使えない。

既にあるコマンドを使って情報収集や攻撃、暗号化などを行うようだ。

この特殊な環境であるESXiに合わせた攻撃というのは簡単ではなく価値があるため、RaaSサービスではESXi用のランサムウェアというのが一つの売りになる。

普通のLinuxとは異なるので、独特な調査テクニックを知らなければ調査できない。

主に、esxiのshellの履歴が残る/var/log/shell.log、SSHやWebのログインに関わる/var/log/hostd.logや/var/log/auth.log重宝されるらしい。

ログ一覧は公式でも公開されている。
knowledge.broadcom.com

調査手法を解説し始めると精神と時の部屋に籠らないといけなくなるので、以下をご参照あれ。