Kihasznált QEMU
Az NVISO egy olyan incidensvizsgálatot mutat be, amelyben a támadók a legitim QEMU nyílt forráskódú virtualizációs platformot használták rosszindulatú műveleteik elrejtésére. Ahelyett, hogy a malware közvetlenül a kompromittált operációs rendszeren futott volna, a támadók egy ideiglenesen létrehozott virtuális gépben hajtották végre a kártékony tevékenységeket, jelentősen csökkentve a hagyományos AV- és EDR-megoldások láthatóságát.
A módszer lényege, hogy a QEMU teljesen legitim rendszerszoftver, ezért jelenléte önmagában ritkán kelt gyanút. A virtuális gépben futó implantátumok képesek C2 kommunikációra, további eszközök letöltésére, oldalirányú mozgás támogatására és adatlopásra, miközben a végpontvédelmi rendszerek csak a QEMU folyamatot látják, nem pedig a vendég operációs rendszerben végrehajtott tényleges rosszindulatú aktivitást.
Az NVISO szerint ez a technika jól illeszkedik a támadók azon törekvéséhez, hogy egyre inkább Living-off-the-Land megközelítéseket alkalmazzanak, vagyis legitim adminisztrációs és rendszereszközöket használjanak fel támadási célokra. A virtualizáció ilyen jellegű visszaélése különösen veszélyes szerver- és felhőkörnyezetekben, ahol a QEMU vagy más hypervisor-komponensek használata üzemszerű lehet.
A kutatók szerint érdemes figyelni a szokatlan QEMU folyamatindításokat, a váratlan virtuális lemezképek (QCOW2, RAW) létrejöttét, az új virtuális hálózati interfészek megjelenését, valamint a QEMU-folyamatokból kiinduló rendellenes hálózati kommunikációt. Az ilyen viselkedésalapú észlelési szabályok segíthetnek azonosítani azokat a támadókat, akik a virtualizációt rejtőzködési technikaként alkalmazzák.
