AuditD: como invasores exploram e operam em nós do Proxmox VE

AuditD na linha de frente: visibilidade real contra operadores de Proxmox VE O projeto AuditD opera como o auditor de segurança em nível de núcleo para distribuições Linux. Ele monitora chamadas de sistema e alterações de arquivos em tempo real, gerando trilhas forenses que a camada de aplicação ignora. O coletivo Goblin Loot publicou um mapeamento detalhado de como adversários exploram nós Proxmox VE, disponível na análise completa. Os atacantes enumeram domínios via /api2/json/access/domains/, aplicam força bruta e abusam do utilitário pvesh para destruir ou listar VMs. Essa operação living off the land fica invisível para o pveproxy. O AuditD resolve o problema ao rastrear a execução de binários em /usr/sbin e /usr/bin. Ele atende diretamente analistas de detecção e equipes de resposta que precisam fechar lacunas de telemetria. A limitação prática exige tuning contínuo de regras e filtragem de ruído. Sem isso, o volume de eventos satura o disco e mascara atividades reais.

A migração em massa de ambientes VMware para Proxmox aumentou a superfície de ataque virtual em data centers corporativos. Invasores já mapearam a arquitetura padrão e focam em técnicas que evitam logs nativos. O abuso de regras de firewall em /etc/pve/firewall/cluster.fw pode isolar equipes de defesa e paralisar operações críticas. Monitorar a linhagem de sessões SSH e cruzar dados do journald com as unidades pvedaemon e pveproxy cria uma malha de detecção proativa. Empresas que adotam Proxmox VE precisam validar essas fontes de log antes de sofrer uma invasão silenciosa. A proteção da infraestrutura depende da correlação entre CLI, sistema operacional e orquestrador.