QEMU-virtuella maskiner är nu en del av en växande attackteknik som används av Windows-hackare. Nyligen visade forskare hur angripare kör dolda miljöer för att undvika upptäckt. Som ett resultat misslyckas många traditionella säkerhetsverktyg med att upptäcka skadlig aktivitet.
Samtidigt visar denna metod en förändring i angreppssätt. I stället för att köra skadlig kod direkt på systemet flyttar angripare exekveringen till isolerade miljöer.
Hackare använder QEMU för att kringgå säkerhetsverktyg
Denna teknik bygger på att skapa en virtuell maskin inuti ett Windows-system. Angripare distribuerar en lättviktig Linux-miljö och arbetar därifrån.
Inuti den virtuella maskinen kör de kommandon och verktyg. Som ett resultat kan de flesta endpoint-skydd inte se vad som sker i det lagret.
Därför kan angripare arbeta med minskad risk för upptäckt. Värdsystemet visar färre tydliga tecken på intrång.
Dolda virtuella maskiner möjliggör smygande attacker
QEMU-virtuella maskiner gör det möjligt för angripare att förbli dolda samtidigt som de behåller full kontroll. De använder ofta minimala Linux-distributioner för att minska påverkan på systemet.
Till exempel kan lättviktiga installationer köras effektivt utan att utlösa varningar. Därför smälter den virtuella miljön in i normal systemaktivitet.
Dessutom kan angripare ta bort den virtuella maskinen efter användning. Som ett resultat lämnar de få spår efter sig för utredare.
Fullständiga attackverktyg körs i virtuella miljöer
Denna metod gör det möjligt för angripare att använda kompletta verktygssviter i den virtuella miljön. I stället för enkla skript kör de fullskaliga attackramverk.
Dessa kan inkludera verktyg för att samla in inloggningsuppgifter, röra sig lateralt i nätverk och utnyttja sårbarheter. Därmed får angripare full operativ kontroll inuti den virtuella maskinen.
Samtidigt förblir värdsystemet relativt opåverkat. Denna separation gör upptäckt svårare.
Upptäckt blir svårare
QEMU-virtuella maskiner skapar stora utmaningar för säkerhetsteam. De flesta skyddslösningar övervakar aktivitet på värdsystemet.
Virtuella maskiner skapar dock ett separat exekveringslager. Som ett resultat kanske skadlig aktivitet inte utlöser några varningar.
Detta skapar en blind fläck i många säkerhetsmiljöer. Även avancerade verktyg kan ha svårt att analysera aktivitet i isolerade miljöer.
Angreppstekniker fortsätter att utvecklas
Denna metod speglar en bredare förändring i angripares beteende. Tidigare använde de inbyggda virtualiseringsverktyg som var lättare att upptäcka.
Nu använder de alternativ som väcker mindre uppmärksamhet. Därför blir upptäckt mer komplex.
Som följd måste försvarare anpassa sig snabbt. Statiska metoder räcker inte längre.
Slutsats
QEMU-virtuella maskiner blir ett kraftfullt verktyg för smygande attacker. Angripare använder dem för att kringgå upptäckt och arbeta obemärkt.
Framöver måste organisationer uppdatera sina skydd för att hantera dolda exekveringslager. Annars kommer dessa tekniker att fortsätta möjliggöra tysta intrång.
0 svar till ”Windows-hackare använder QEMU-virtuella maskiner för att undvika upptäckt”