Zurück zur Startseite

Hacker tarnen Betriebssysteme als Dateien: neue Taktik zur Umgehung von Antivirenprogrammen

Cyberkriminelle nutzen das legitime QEMU-Tool, um versteckte virtuelle Maschinen auszuführen und Images als gewöhnliche Dateien zu tarnen. Sophos-Experten haben zwei Kampagnen identifiziert, bei denen diese Technik eingesetzt wird, um Antiviren- und EDR-Software zu umgehen.

Wie Hacker ganze Betriebssysteme in gewöhnlichen Dateien verstecken
Advertisement 728x90

Hacker tarnen ganze Betriebssysteme als gewöhnliche Dateien: Neue Taktik zur Umgehung von Antivirenprogrammen

Cyberkriminelle haben einen Weg gefunden, bösartige Aktivitäten in legitimen Virtualisierungstools zu verstecken. Mit QEMU führen Angreifer ganze Betriebssysteme aus, die von Standard-Sicherheitsmaßnahmen nicht erkannt werden. Diese Technik wird bereits in mehreren Ransomware-Kampagnen eingesetzt.

Wie der QEMU-basierte Angriff funktioniert

QEMU ist eine beliebte Open-Source-Software für Emulation und Virtualisierung. In den Händen von Angreifern wird es zu einem mächtigen Werkzeug, um Spuren zu verbergen. Anstatt bösartige Prozesse direkt auf dem infizierten System auszuführen, setzen Hacker eine virtuelle Maschine (VM) darin ein. Alle schädlichen Aktionen werden innerhalb dieser VM durchgeführt, während auf dem Host nur legitime QEMU-Prozesse sichtbar sind.

Das virtuelle Festplattenimage wird als gewöhnliche Dateien getarnt – zum Beispiel als Datenbanken oder DLL-Bibliotheken. Die Kommunikation mit dem Command-Server erfolgt über reverse SSH-Tunnel, was die Erkennung von Netzwerkanomalien erschwert.

Google AdInline article slot

Zwei Kampagnen: STAC4713 und STAC3725

Sophos-Forscher haben mindestens zwei separate Kampagnen identifiziert, die diese Technik nutzen.

Kampagne STAC4713

In dieser Kampagne, die seit Ende 2025 aktiv ist, setzten Angreifer eine versteckte VM über eine TPMProfiler-Aufgabe mit SYSTEM-Rechten ein. Innerhalb der VM wurde ein vollständiger Satz von Tools für Remote-Zugriff, Diebstahl von Anmeldedaten und Datenextraktion platziert. Die Kampagne steht im Zusammenhang mit der Verbreitung der PayoutsKing-Ransomware. Analysten gehen davon aus, dass sie von der Gruppe GOLD ENCOUNTER orchestriert wird, die auf Angriffe auf virtualisierte Infrastruktur (VMware, ESXi) spezialisiert ist.

Kampagne STAC3725

Ab Februar 2026 nutzt diese Kampagne die CitrixBleed2-Sicherheitslücke in NetScaler aus. Nach dem Einbruch installieren Hacker einen bösartigen ScreenConnect-Client, erstellen ein lokales Administratorkonto und starten QEMU mit einem Alpine-Linux-Image. Im Gegensatz zur ersten Kampagne werden Aufklärungstools innerhalb der VM gesammelt: Impacket, BloodHound, Kerbrute, Metasploit und andere werden eingesetzt.

Google AdInline article slot

Warum dies gefährlich ist: Heimlichkeit und Langzeitzugriff

Die Hauptgefahr dieses Ansatzes besteht darin, dass bösartige Aktivitäten fast keine Spuren auf dem Host-System hinterlassen. Antiviren- und EDR-Lösungen sehen nur den legitimen QEMU-Prozess und können nicht in die virtuelle Maschine hineinschauen. Dies gibt Angreifern einen versteckten Langzeitzugriff, erleichtert die laterale Bewegung im Netzwerk und ermöglicht es ihnen, einen Ransomware-Angriff leise vorzubereiten.

Wie man sich schützt: Expertenempfehlungen

Sophos empfiehlt folgende Maßnahmen, um solche Angriffe zu erkennen:

  • Überprüfen Sie die Umgebung auf nicht autorisierte QEMU-Installationen.
  • Überwachen Sie verdächtige Aufgaben, die als SYSTEM ausgeführt werden.
  • Erkennen Sie ungewöhnliche SSH-Portweiterleitungen.
  • Achten Sie auf ungewöhnliche virtuelle Festplattendateien.

Wichtige Erkenntnisse

  • Hacker nutzen das legitime QEMU-Tool, um versteckte virtuelle Maschinen auszuführen.
  • VM-Images werden als gewöhnliche Dateien (Datenbanken, DLLs) getarnt.
  • Angriffe umgehen Antiviren- und EDR-Lösungen und bleiben unentdeckt.
  • Zwei Kampagnen identifiziert: STAC4713 (PayoutsKing) und STAC3725 (CitrixBleed2).
  • Überwachen Sie auf nicht autorisierte QEMU-Installationen und verdächtige SSH-Tunnel.

Kontext und Auswirkungen

Die Nutzung von Virtualisierung zur Verschleierung bösartiger Aktivitäten ist eine Weiterentwicklung der Taktiken von Cyberkriminellen. Bisher wurden dafür legitime Systemdienstprogramme (LOLBins) verwendet, aber QEMU bietet umfassendere Möglichkeiten. Es wird erwartet, dass die Zahl solcher Angriffe zunimmt, insbesondere in Unternehmensumgebungen, in denen Virtualisierung weit verbreitet ist. Unternehmen müssen ihre Verteidigungsstrategien anpassen, einschließlich Verhaltensanalyse und Überwachung auf Hypervisor-Ebene.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Weiterlesen