QEMU-virtuelle maskiner er nu en del af en voksende angrebsteknik, som Windows-hackere bruger. For nylig viste forskere, hvordan angribere kører skjulte miljøer for at undgå opdagelse. Som følge heraf opdager mange traditionelle sikkerhedsværktøjer ikke skadelig aktivitet.
Samtidig viser denne metode et skifte i angrebsstrategier. I stedet for at køre malware direkte på systemet flytter angribere eksekveringen til isolerede miljøer.
Hackere bruger QEMU til at omgå sikkerhedsværktøjer
Denne teknik bygger på at oprette en virtuel maskine inde i et Windows-system. Angribere implementerer et letvægts Linux-miljø og arbejder derfra.
Inde i den virtuelle maskine kører de kommandoer og værktøjer. Som følge heraf kan de fleste endpoint-beskyttelsessystemer ikke se, hvad der sker i dette lag.
Derfor kan angribere operere med lavere risiko for opdagelse. Værtssystemet viser færre tydelige tegn på kompromittering.
Skjulte virtuelle maskiner muliggør skjulte angreb
QEMU-virtuelle maskiner gør det muligt for angribere at forblive skjulte, mens de bevarer fuld kontrol. De bruger ofte minimale Linux-distributioner for at reducere systempåvirkningen.
For eksempel kan lette opsætninger køre effektivt uden at udløse alarmer. Derfor smelter det virtuelle miljø sammen med normal systemaktivitet.
Derudover kan angribere fjerne den virtuelle maskine efter brug. Som følge heraf efterlader de få spor til efterforskere.
Fuldstændige angrebsværktøjer kører i virtuelle miljøer
Denne metode gør det muligt for angribere at anvende komplette værktøjssæt i det virtuelle miljø. I stedet for simple scripts kører de fulde angrebsrammeværk.
Disse kan omfatte værktøjer til indsamling af loginoplysninger, lateral bevægelse og udnyttelse af sårbarheder. Dermed får angribere fuld operationel kontrol inde i den virtuelle maskine.
Samtidig forbliver værtssystemet relativt rent. Denne adskillelse gør det sværere at opdage angrebet.
Opdagelse bliver mere udfordrende
QEMU-virtuelle maskiner skaber en betydelig udfordring for sikkerhedsteams. De fleste forsvarssystemer overvåger aktivitet på værtssystemet.
Virtuelle maskiner introducerer dog et separat eksekveringslag. Som følge heraf kan skadelig aktivitet undgå at udløse alarmer.
Dette skaber en blind vinkel i mange sikkerhedsopsætninger. Selv avancerede værktøjer kan have svært ved at analysere aktivitet i isolerede miljøer.
Angrebsteknikker fortsætter med at udvikle sig
Denne metode afspejler et bredere skifte i angribernes adfærd. Tidligere brugte de indbyggede virtualiseringsværktøjer, som var lettere at opdage.
Nu anvender de alternativer, der tiltrækker mindre opmærksomhed. Derfor bliver opdagelse mere kompleks.
Som følge heraf skal forsvarere tilpasse sig hurtigt. Statiske detektionsmetoder er ikke længere tilstrækkelige.
Konklusion
QEMU-virtuelle maskiner bliver et kraftfuldt værktøj til skjulte angreb. Angribere bruger dem til at omgå opdagelse og operere ubemærket.
Fremover skal organisationer opdatere deres forsvar for at håndtere skjulte eksekveringslag. Ellers vil disse teknikker fortsætte med at muliggøre stille kompromitteringer.
0 svar til “Windows-hackere bruger QEMU-virtuelle maskiner til at undgå opdagelse”