Actorii malefici au fost detectați abuzând platforma de hipervizare open-source QEMU ca unelte de tunelare într-un atac cibernetic împotriva unei companii mari.
QEMU este un emulator și hipervizor gratuit care permite rularea altor sisteme de operare ca oaspeți pe un calculator.
În cadrul atacului, actorii amenințării au folosit QEMU pentru a crea interfețe de rețea virtuale și un dispozitiv de rețea de tip socket pentru a se conecta la un server remote. Acest lucru le-a permis actorilor amenințării să creeze un tunel de rețea de la sistemul victimei la serverul atacatorului cu un impact neglijabil asupra performanței sistemului.
Acest caz neobișnuit, care evidențiază metodele diverse pe care atacatorii le folosesc pentru a rămâne discreți, a fost descoperit de analiștii Kaspersky care au fost chemați să investigheze activitățile suspecte în sistemele companiei afectate.
Hackerii creează tuneluri de rețea pentru a stabili un canal de comunicare discret și securizat între ei și un sistem compromis.
În mod obișnuit, aceste tuneluri criptează traficul de rețea pentru a ajuta la ocolirea firewall-urilor, sistemelor de detecție a intruziunilor și a altor măsuri de securitate.
Kaspersky afirmă că în 10% din cazurile investigate în ultimii trei ani, hackerii au folosit utilitarele FRP și ngrok pentru a crea tuneluri. Alte unelte de tunelare folosite în atacuri includ tuneluri CloudFlare, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox și nps.
Datorită abuzului frecvent de către infractorii cibernetici, apărătorii și uneltele de monitorizare tratează aceste unelte cu suspiciune.
În acest caz neobișnuit care implică QEMU, atacatorii au decis să folosească o unealtă mai puțin convențională pentru crearea de tuneluri de rețea care nu ar ridica semnale de alarmă, chiar dacă asta însemna renunțarea la criptarea traficului.
Mai mult, QEMU oferă capacități unice precum emularea unei game largi de hardware și rețele virtuale, permițând activităților malefice să se amestece cu traficul benign de virtualizare și să pună la dispoziție puncte pivot VM pentru a lega părți segmentate ale rețelei printr-o configurare strategică.
În atacul observat de Kaspersky, hackerii au folosit ‘Angry IP Scanner’ pentru scanarea rețelei, ‘mimikatz’ pentru furtul de acreditări și QEMU pentru crearea unei configurații sofisticate de tunelare a rețelei care a facilitat un canal de comunicare discret.
Atacatorii au încercat să-și reducă amprenta cât mai mult posibil, alocând doar 1MB de RAM mașinii virtuale create, reducând în mod semnificativ șansele de detectare prin consumul de resurse.
Configurația VM-ului, care a fost pornit fără utilizarea unui LiveCD sau a imaginii de disc, include următoarele argumente:
Kaspersky a efectuat teste simulate pentru a replica utilizarea specifică a QEMU de către atacatori, concluzionând că configurația arăta ca în diagrama de mai jos.
Folosind QEMU, atacatorii au stabilit un tunel de rețea de la gazda internă vizată care nu avea acces la internet la o gazdă pivot cu acces la internet, care la rândul său se conectează la serverul atacatorului din cloud, rulând un VM Kali Linux.
Capacitatea VM-urilor QEMU de a se conecta fără probleme și de a lega componente segmentate ale rețelei este cheia în ocolirea măsurilor de securitate și poate fi folosită și pentru a extinde breach-ul lateral.
Kaspersky afirmă că întreprinderea ar trebui să adopte o protecție multi-nivel pentru a detecta utilizarea uneltelor legitime precum aceasta, inclusiv monitorizarea rețelei 24/7, ceea ce poate fi în afara punctului de preț pentru multe afaceri mici.
„Acest lucru susține în continuare conceptul de protecție multi-nivel, care acoperă atât protecția fiabilă a endpoint-ului, cât și soluții specializate pentru detectarea și protecția împotriva atacurilor complexe și țintite, inclusiv cele operate de oameni,” a concluzionat Kaspersky.
„Doar o securitate cuprinzătoare care include monitorizarea rețelei 24/7 (NDR, NGFW) și a endpoint-ului (EDR, EPP), de către experți SOC, poate detecta anomalii într-un mod oportun și poate bloca un atac în stadiul său inițial.”
Malware-ul nou SSH-Snake fură cheile SSH pentru a se răspândi în rețea
Leave a Reply