黑客将整个操作系统伪装成普通文件:逃避杀毒软件的新策略
网络犯罪分子找到了一种在合法虚拟化工具中隐藏恶意活动的方法。利用QEMU,攻击者运行整个操作系统,从而避开标准安全措施的检测。该技术已在多个勒索软件活动中被使用。
QEMU攻击的工作原理
QEMU是一款流行的开源模拟和虚拟化软件。在攻击者手中,它成为隐藏痕迹的强大工具。黑客不是在受感染系统上直接运行恶意进程,而是在其中部署一个虚拟机(VM)。所有恶意操作都在该虚拟机内执行,而主机上只保留合法的QEMU进程。
虚拟磁盘镜像被伪装成普通文件——例如数据库或DLL库。与命令服务器的通信通过反向SSH隧道进行,使得网络异常难以检测。
两个活动:STAC4713和STAC3725
Sophos研究人员已识别出至少两个使用该技术的独立活动。
活动STAC4713
在该活动中,自2025年底以来,攻击者通过以SYSTEM权限运行的TPMProfiler任务部署了一个隐藏虚拟机。虚拟机内放置了一套完整的远程访问、凭证窃取和数据外泄工具。该活动与PayoutsKing勒索软件的传播有关。分析人员认为,它由GOLD ENCOUNTER组织策划,该组织专门攻击虚拟化基础设施(VMware、ESXi)。
活动STAC3725
从2026年2月开始,该活动利用NetScaler中的CitrixBleed2漏洞。入侵后,黑客安装恶意ScreenConnect客户端,创建本地管理员账户,并启动带有Alpine Linux镜像的QEMU。与第一个活动不同,侦察工具在虚拟机内收集:使用Impacket、BloodHound、Kerbrute、Metasploit等。
为何危险:隐蔽性和长期访问
这种方法的主要危险在于,恶意活动在主机系统上几乎不留痕迹。杀毒软件和EDR解决方案只能看到合法的QEMU进程,无法查看虚拟机内部。这使攻击者获得长期隐藏访问权限,简化了网络横向移动,并允许他们悄悄准备勒索软件攻击。
如何防御:专家建议
Sophos建议采取以下措施检测此类攻击:
- 检查环境中是否存在未经授权的QEMU安装。
- 监控以SYSTEM身份运行的异常任务。
- 检测异常的SSH端口转发。
- 留意异常的虚拟磁盘文件。
关键要点
- 黑客使用合法的QEMU工具运行隐藏虚拟机。
- 虚拟机镜像被伪装成普通文件(数据库、DLL)。
- 攻击绕过杀毒软件和EDR,保持不被发现。
- 已识别两个活动:STAC4713(PayoutsKing)和STAC3725(CitrixBleed2)。
- 监控未经授权的QEMU安装和可疑的SSH隧道。
背景与影响
利用虚拟化隐藏恶意活动是网络犯罪策略的演变。此前,合法系统工具(LOLBins)被用于此目的,但QEMU提供了更广泛的能力。预计此类攻击数量将增长,尤其是在虚拟化广泛使用的企业环境中。公司需要调整防御策略,包括行为分析和虚拟机监控器级别的监控。
— Editorial Team
暂无评论。