黑客滥用 QEMU 对企业进行网络攻击
2024-4-23 12:0:0 Author: www.4hou.com(查看原文) 阅读量:27 收藏

胡金鱼 新闻 刚刚发布

3223

收藏

导语:QEMU 是一个免费的模拟器和虚拟机管理程序,允许在计算机上以访客身份运行其他操作系统。

网络恶意分子被发现将开源虚拟机管理程序平台 QEMU 作为对企业进行网络攻击的隧道工具。

QEMU 是一个免费的模拟器和虚拟机管理程序,允许在计算机上以访客身份运行其他操作系统。

作为攻击的一部分,网络恶意分子使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道,而对系统性能的影响可以忽略不计。

安全研究分析师发现了这一问题,并指出攻击者用来保持其隐蔽性的多种方法。

隐秘的网络隧道

黑客创建网络隧道,在他们与受感染的系统之间建立隐秘且安全的通信通道。通常,这些隧道会对网络流量进行加密,以帮助绕过防火墙、入侵检测系统和其他安全措施。

安全研究机构表示,在过去三年调查的案例中,有 10% 的黑客使用了 FRP 和 ngrok 实用程序来创建隧道。攻击中使用的其他隧道工具包括 CloudFlare 隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox 和 nps。由于它们经常被网络犯罪分子滥用,致使防御者和监控工具对这些持怀疑态度。

在涉及 QEMU 中,攻击者利用一种不太传统的工具来创建网络隧道,这种工具不太可能发出任何警报,即使这意味着放弃流量加密。

此外,QEMU 还提供有独特的功能,例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合,以及通过战略性设置 VM 枢轴点来桥接分段网络部分。

轻如羽毛的后门

在发现的攻击中,黑客利用“Angry IP Scanner”进行网络扫描,利用“mimikatz”进行凭证盗窃,并使用 QEMU 创建复杂的网络隧道设置,以促进隐蔽的通信通道。

攻击者试图尽可能减少足迹,只为他们创建的虚拟机分配 1MB RAM,从而大大降低了通过资源消耗被检测到的机会。

不使用 LiveCD 或磁盘映像启动的 VM 的配置包括以下参数:

·-netdev user,id=lan,restrict=off:在用户模式下配置名为“lan”的网络后端,允许通过主机的网络堆栈进行不受限制的网络访问。

·-netdev socket,id=sock,connect=

·-netdev hubport,id=port-lan,hubid=0,netdev=lan/sock:将网络设备(lan 或 sock)链接到虚拟集线器 hubid=0,促进不同后端之间的网络连接。

·-ngraphic:在没有图形界面的情况下运行 QEMU,仅选择命令行交互,从而减少其可见性和资源占用。

安全研究机构进行了模拟测试来复制攻击者对 QEMU 的具体使用,得出的结论如下图所示:

diagram.webp.jpg

流量路由图 

使用 QEMU 时攻击者建立了一条网络隧道,从无法访问互联网的目标内部主机到能够访问互联网的枢轴主机,后者又连接到攻击者在云上运行 Kali Linux VM 的服务器。

rdp-connection.webp.jpg

建立与内部主机的 RDP 连接

QEMU 虚拟机无缝链接和桥接分段网络组件的能力是绕过安全措施的关键,也可用于进一步横向破坏。企业应该采用多级保护来检测此类合法工具的使用,包括 24/7 网络监控。

安全研究机构总结道:这进一步支持了多级保护的概念,其中包括可靠的端点保护以及有针对性的攻击(包括人为攻击)专门解决方案。

文章翻译自:https://www.bleepingcomputer.com/news/security/hackers-abuse-qemu-to-covertly-tunnel-network-traffic-in-cyberattacks/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/vxEn
如有侵权请联系:admin#unsafe.sh