В ходе кибератаки на крупную компанию было обнаружено использование злоумышленниками гипервизора с открытым исходным кодом QEMU в качестве инструмента туннелирования.
QEMU – это бесплатный эмулятор и гипервизор, позволяющий запускать на компьютере другие операционные системы в качестве гостевых.
В рамках атаки злоумышленники использовали QEMU для создания виртуальных сетевых интерфейсов и сетевого устройства типа сокет для подключения к удаленному серверу. Это позволило создать сетевой туннель от системы жертвы к серверу злоумышленника с незначительным влиянием на производительность системы.
Этот необычный случай, подчеркивающий разнообразие методов, используемых злоумышленниками для сохранения скрытности, был обнаружен сотрудниками Касперского, которые были вызваны для расследования подозрительной активности в системах взломанной компании.
Незаметные сетевые туннели
Хакеры создают сетевые туннели, чтобы установить незаметный и безопасный канал связи между собой и взломанной системой.
Обычно такие туннели шифруют сетевой трафик, чтобы обойти брандмауэры, системы обнаружения вторжений и другие меры безопасности.
Касперский утверждает, что в 10% случаев, расследованных им за последние три года, хакеры использовали утилиты FRP и ngrok для создания туннелей. Среди других инструментов для создания туннелей, используемых в атаках, – туннели CloudFlare, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox и nps.
Из-за того что злоумышленники часто ими пользуются, защитники и средства мониторинга относятся к ним с подозрением.
В этом необычном случае с QEMU злоумышленники решили использовать менее традиционный инструмент для создания сетевых туннелей, который вряд ли вызовет тревогу, даже если это означает отказ от шифрования трафика.
Кроме того, QEMU предлагает такие уникальные возможности, как эмуляция широкого спектра аппаратных средств и виртуальных сетей, позволяя вредоносной деятельности смешиваться с доброкачественным трафиком виртуализации, а также объединяя сегментированные части сети с помощью стратегически настроенных поворотных точек ВМ.
Легкий бэкдор
В атаке, замеченной «Касперским», хакеры использовали «Angry IP Scanner» для сканирования сети, «mimikatz» для кражи учетных данных и QEMU для создания сложного сетевого туннеля, который обеспечивал скрытый канал связи.
Злоумышленники постарались сделать свой след как можно более минимальным, выделив всего 1 МБ оперативной памяти для созданной ими виртуальной машины, что значительно уменьшило шансы на обнаружение из-за потребления ресурсов.
Конфигурация виртуальной машины, запущенной без использования LiveCD или образа диска, включает следующие аргументы:
- -netdev user,id=lan,restrict=off: Настраивает сетевой бэкэнд с именем „lan“ в пользовательском режиме, предоставляя неограниченный доступ к сети через сетевой стек хоста.
- -netdev socket,id=sock,connect=:443: Устанавливает сокетное соединение с указанным IP-адресом на порту 443, создавая прямой сетевой канал для бэкенда „sock“.
- -netdev hubport,id=port-lan,hubid=0,netdev=lan/sock: Связывает сетевое устройство (либо lan, либо sock) с виртуальным хабом hubid=0, облегчая сетевое соединение между различными бэкендами.
- -nographic: Запускает QEMU без графического интерфейса, предпочитая взаимодействие только с командной строкой, что снижает его видимость и ресурсоемкость.
Касперский провел симуляционные тесты, чтобы воспроизвести специфическое использование QEMU злоумышленниками, и пришел к выводу, что установка выглядела так, как показано на схеме ниже.
Используя QEMU, злоумышленники создали сетевой туннель от целевого внутреннего узла, не имеющего доступа к Интернету, к узлу с доступом в Интернет, который, в свою очередь, подключился к серверу злоумышленников в облаке, на котором была запущена виртуальная машина Kali Linux
Способность виртуальных машин QEMU бесшовно соединять сегментированные сетевые компоненты является ключевой для обхода мер безопасности и может также использоваться для дальнейшего проникновения в сеть.
Касперский утверждает, что для обнаружения использования подобных легитимных инструментов предприятия должны использовать многоуровневую защиту, включая круглосуточный мониторинг сети, который может оказаться не по карману многим малым предприятиям.
«Это еще раз подтверждает концепцию многоуровневой защиты, которая включает в себя как надежную защиту конечных точек, так и специализированные решения для обнаружения и защиты от сложных и направленных атак, включая атаки, управляемые человеком»
«Только комплексная безопасность включающая круглосуточный мониторинг сети (NDR, NGFW) и конечных точек (EDR, EPP), осуществляемый экспертами SOC, может своевременно обнаружить аномалии и блокировать атаку на ее начальной стадии».
- заключает Касперский
Комментарии (0)