黑客滥用 QEMU 对企业进行网络攻击

胡金鱼
作为攻击的一部分,网络恶意分子使用QEMU创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道,而对系统性能的影响可以忽略不计。

本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。

网络恶意分子被发现将开源虚拟机管理程序平台QEMU作为对企业进行网络攻击的隧道工具。

QEMU是一个免费的模拟器和虚拟机管理程序,允许在计算机上以访客身份运行其他操作系统。

作为攻击的一部分,网络恶意分子使用QEMU创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道,而对系统性能的影响可以忽略不计。

安全研究分析师发现了这一问题,并指出攻击者用来保持其隐蔽性的多种方法。

隐秘的网络隧道

黑客创建网络隧道,在他们与受感染的系统之间建立隐秘且安全的通信通道。通常,这些隧道会对网络流量进行加密,以帮助绕过防火墙、入侵检测系统和其他安全措施。

安全研究机构表示,在过去三年调查的案例中,有10%的黑客使用了FRP和ngrok实用程序来创建隧道。攻击中使用的其他隧道工具包括CloudFlare隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox和nps。由于它们经常被网络犯罪分子滥用,致使防御者和监控工具对这些持怀疑态度。

在涉及QEMU中,攻击者利用一种不太传统的工具来创建网络隧道,这种工具不太可能发出任何警报,即使这意味着放弃流量加密。

此外,QEMU还提供有独特的功能,例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合,以及通过战略性设置VM枢轴点来桥接分段网络部分。

轻如羽毛的后门

在发现的攻击中,黑客利用“Angry IP Scanner”进行网络扫描,利用“mimikatz”进行凭证盗窃,并使用QEMU创建复杂的网络隧道设置,以促进隐蔽的通信通道。

攻击者试图尽可能减少足迹,只为他们创建的虚拟机分配1MB RAM,从而大大降低了通过资源消耗被检测到的机会。

不使用LiveCD或磁盘映像启动的VM的配置包括以下参数:

·-netdev user,id=lan,restrict=off:在用户模式下配置名为“lan”的网络后端,允许通过主机的网络堆栈进行不受限制的网络访问。

·-netdev socket,id=sock,connect=

·-netdevhubport,id=port-lan,hubid=0,netdev=lan/sock:将网络设备(lan或sock)链接到虚拟集线器hubid=0,促进不同后端之间的网络连接。

·-ngraphic:在没有图形界面的情况下运行QEMU,仅选择命令行交互,从而减少其可见性和资源占用。

安全研究机构进行了模拟测试来复制攻击者对QEMU的具体使用,得出的结论如下图所示:

640 (1).png

流量路由图

使用QEMU时攻击者建立了一条网络隧道,从无法访问互联网的目标内部主机到能够访问互联网的枢轴主机,后者又连接到攻击者在云上运行Kali Linux VM的服务器。

640 (1).png

建立与内部主机的RDP连接

QEMU虚拟机无缝链接和桥接分段网络组件的能力是绕过安全措施的关键,也可用于进一步横向破坏。企业应该采用多级保护来检测此类合法工具的使用,包括24/7网络监控。

安全研究机构总结道:这进一步支持了多级保护的概念,其中包括可靠的端点保护以及有针对性的攻击(包括人为攻击)专门解决方案。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论