VMkatz вскрывает гипервизоры. Домен под угрозой
10 июля, 2026

VMkatz вскрывает гипервизоры. Домен под угрозой

VMkatz вскрывает гипервизоры. Домен под угрозой

В 2026 году в открытый доступ выложили инструмент VMkatz - и это не просто очередная утилита для пентестеров. По сути, это Mimikatz, переосмысленный для эпохи виртуализации. Цель одна: вытащить учётные данные прямо из файлов виртуальных машин, даже не заходя внутрь гостевой системы.

Что умеет VMkatz и почему это опасно

Классический Mimikatz давно стал притчей во языцех - его знают все, его детектируют все. VMkatz берёт ту же идею и переносит атаку на уровень выше. Инструмент работает со снимками памяти и виртуальными дисками напрямую: VMware ESXi, Microsoft Hyper-V, VirtualBox, QEMU/KVM - платформа почти не важна.

Получил доступ к гипервизору? Считай, уже внутри каждой машины на нём. Никакого RDP, никакого брутфорса учёток, никакого шума от EDR внутри гостевой ОС. Просто файл - и всё, что в нём хранится.

Особенно болезненно выглядит функция извлечения базы Active Directory. VMkatz способен вытащить NTDS.dit и раздел реестра SYSTEM прямо с виртуального контроллера домена. Это означает: компрометация одного гипервизора потенциально равна компрометации всего домена целиком.

Обход защиты ESXi - элегантный и неочевидный

Для среды VMware ESXi авторы подготовили Python-загрузчик с нетривиальным механизмом запуска. Вместо прямого вызова бинарного файла скрипт разбирает ELF-заголовки вручную, выделяет память внутри уже запущенного процесса Python и передаёт управление на точку входа. VMkatz не появляется как отдельный процесс. Он живёт внутри Python.

Зачем такие сложности? Чтобы обойти параметр execInstalledOnly, блокирующий запуск неподписанных бинарей. Никакого execve - никакого срабатывания. Решение изящное и, к сожалению, рабочее.

Команда PT ESC IR зафиксировала подобный сценарий в реальном расследовании. Злоумышленники, захватив гипервизор, запускали загрузчик прямо из /tmp, поочерёдно скармливая ему снимки памяти и виртуальные диски контроллера домена.

Как снизить риски

Универсальной таблетки нет, но несколько мер существенно сужают поверхность атаки:

  • Шифровать все файлы виртуальных машин - без ключа снимок памяти превращается в бесполезный набор байтов
  • SSH держать выключенным по умолчанию, включать только для диагностики и только с ключами, не паролями
  • Ограничить TCP/22 на уровне фаервола - доступ только с jump-хостов или доверенных административных адресов с MFA
  • Настроить мониторинг привилегированных входов на гипервизор - аномальная активность под root или аналогичными учётками должна триггерить алёрт немедленно

Появление VMkatz - сигнал: защита периметра и гостевых ОС больше не достаточна. Гипервизор стал самостоятельным вектором атаки, и относиться к нему нужно соответственно.