返回首页

黑客将操作系统伪装成文件:绕过杀毒软件的新策略

网络犯罪分子使用合法的QEMU工具运行隐藏的虚拟机,将镜像伪装成普通文件。Sophos专家已识别出两个利用此技术绕过杀毒软件和EDR的活动。

黑客如何将整个操作系统隐藏在普通文件中
Advertisement 728x90

黑客将整个操作系统伪装成普通文件:逃避杀毒软件的新策略

网络犯罪分子找到了一种在合法虚拟化工具中隐藏恶意活动的方法。利用QEMU,攻击者运行整个操作系统,从而避开标准安全措施的检测。该技术已在多个勒索软件活动中被使用。

QEMU攻击的工作原理

QEMU是一款流行的开源模拟和虚拟化软件。在攻击者手中,它成为隐藏痕迹的强大工具。黑客不是在受感染系统上直接运行恶意进程,而是在其中部署一个虚拟机(VM)。所有恶意操作都在该虚拟机内执行,而主机上只保留合法的QEMU进程。

虚拟磁盘镜像被伪装成普通文件——例如数据库或DLL库。与命令服务器的通信通过反向SSH隧道进行,使得网络异常难以检测。

Google AdInline article slot

两个活动:STAC4713和STAC3725

Sophos研究人员已识别出至少两个使用该技术的独立活动。

活动STAC4713

在该活动中,自2025年底以来,攻击者通过以SYSTEM权限运行的TPMProfiler任务部署了一个隐藏虚拟机。虚拟机内放置了一套完整的远程访问、凭证窃取和数据外泄工具。该活动与PayoutsKing勒索软件的传播有关。分析人员认为,它由GOLD ENCOUNTER组织策划,该组织专门攻击虚拟化基础设施(VMware、ESXi)。

活动STAC3725

从2026年2月开始,该活动利用NetScaler中的CitrixBleed2漏洞。入侵后,黑客安装恶意ScreenConnect客户端,创建本地管理员账户,并启动带有Alpine Linux镜像的QEMU。与第一个活动不同,侦察工具在虚拟机内收集:使用Impacket、BloodHound、Kerbrute、Metasploit等。

Google AdInline article slot

为何危险:隐蔽性和长期访问

这种方法的主要危险在于,恶意活动在主机系统上几乎不留痕迹。杀毒软件和EDR解决方案只能看到合法的QEMU进程,无法查看虚拟机内部。这使攻击者获得长期隐藏访问权限,简化了网络横向移动,并允许他们悄悄准备勒索软件攻击。

如何防御:专家建议

Sophos建议采取以下措施检测此类攻击:

  • 检查环境中是否存在未经授权的QEMU安装。
  • 监控以SYSTEM身份运行的异常任务。
  • 检测异常的SSH端口转发。
  • 留意异常的虚拟磁盘文件。

关键要点

  • 黑客使用合法的QEMU工具运行隐藏虚拟机。
  • 虚拟机镜像被伪装成普通文件(数据库、DLL)。
  • 攻击绕过杀毒软件和EDR,保持不被发现。
  • 已识别两个活动:STAC4713(PayoutsKing)和STAC3725(CitrixBleed2)。
  • 监控未经授权的QEMU安装和可疑的SSH隧道。

背景与影响

利用虚拟化隐藏恶意活动是网络犯罪策略的演变。此前,合法系统工具(LOLBins)被用于此目的,但QEMU提供了更广泛的能力。预计此类攻击数量将增长,尤其是在虚拟化广泛使用的企业环境中。公司需要调整防御策略,包括行为分析和虚拟机监控器级别的监控。

Google AdInline article slot

— Editorial Team

Advertisement 728x90

继续阅读