QEMU-virtuelle maskiner er nå en del av en voksende angrepsteknikk brukt av Windows-hackere. Nylig viste forskere hvordan angripere kjører skjulte miljøer for å unngå oppdagelse. Som et resultat klarer mange tradisjonelle sikkerhetsverktøy ikke å oppdage skadelig aktivitet.
Samtidig viser denne metoden en endring i angrepsmønstre. I stedet for å kjøre skadelig programvare direkte på systemet, flytter angripere kjøringen til isolerte miljøer.
Hackere bruker QEMU for å omgå sikkerhetsverktøy
Denne teknikken baserer seg på å opprette en virtuell maskin inne i et Windows-system. Angripere distribuerer et lett Linux-miljø og opererer derfra.
Inne i den virtuelle maskinen kjører de kommandoer og verktøy. Som et resultat kan de fleste endpoint-beskyttelsessystemer ikke se hva som skjer i dette laget.
Dermed kan angripere operere med redusert risiko for oppdagelse. Vertssystemet viser færre tydelige tegn på kompromittering.
Skjulte virtuelle maskiner muliggjør skjulte angrep
QEMU-virtuelle maskiner gjør det mulig for angripere å forbli skjult samtidig som de opprettholder full kontroll. De bruker ofte minimale Linux-distribusjoner for å redusere systempåvirkning.
For eksempel kan lette oppsett kjøre effektivt uten å utløse varsler. Dermed glir det virtuelle miljøet inn i normal systemaktivitet.
I tillegg kan angripere fjerne den virtuelle maskinen etter bruk. Som et resultat etterlater de få spor for etterforskere.
Fullverdige angrepsverktøy kjøres i virtuelle miljøer
Denne metoden gjør det mulig for angripere å bruke komplette verktøypakker inne i det virtuelle miljøet. I stedet for enkle skript kjører de fullverdige angrepsrammeverk.
Disse kan inkludere verktøy for innhenting av legitimasjon, lateral bevegelse og utnyttelse av sårbarheter. Dermed får angripere full operativ kontroll inne i den virtuelle maskinen.
Samtidig forblir vertssystemet relativt rent. Denne separasjonen gjør det vanskeligere å oppdage angrepet.
Oppdagelse blir mer utfordrende
QEMU-virtuelle maskiner skaper en betydelig utfordring for sikkerhetsteam. De fleste forsvarssystemer overvåker aktivitet på vertssystemet.
Virtuelle maskiner introduserer imidlertid et separat kjøringslag. Som et resultat kan skadelig aktivitet passere uten å utløse varsler.
Dette skaper en blind sone i mange sikkerhetsoppsett. Selv avanserte verktøy kan slite med å analysere aktivitet i isolerte miljøer.
Angrepsteknikker fortsetter å utvikle seg
Denne metoden reflekterer en bredere endring i angriperes atferd. Tidligere brukte angripere innebygde virtualiseringsverktøy som var lettere å oppdage.
Nå bruker de alternativer som tiltrekker seg mindre oppmerksomhet. Dermed blir oppdagelse mer kompleks.
Følgelig må forsvarere tilpasse seg raskt. Statiske deteksjonsmetoder er ikke lenger tilstrekkelige.
Konklusjon
QEMU-virtuelle maskiner blir et kraftig verktøy for skjulte angrep. Angripere bruker dem til å omgå oppdagelse og operere uoppdaget.
Fremover må organisasjoner oppdatere forsvarene sine for å håndtere skjulte kjøringslag. Ellers vil slike teknikker fortsette å muliggjøre stille kompromitteringer.
0 svar til “Windows-hackere bruker QEMU-virtuelle maskiner for å unngå oppdagelse”