SecureWorks发现恶意人士所采用的新型技术

E安全8月24日讯 SecureWorks公司报告称，恶意人士已经开始使用新型战术，即在目标设备上安装并运行虚拟机，旨在隐藏自己的踪迹。

这些虚拟机负责模拟文件系统，且大多数情况下运行在现有操作系统之内。通俗地讲，虚拟机属于操作系统之内的操作系统，允许用户通过点击图标轻松打开桌面内的Linux或者“Windows 98”。

虚拟机一般由软件开发人员用于测试产品，且经常被嵌入至安全软件等其它应用当中。

恶意人士试图安装名为“New Virtual Machine”的新型虚拟机

SecureWorks公司报告称，最近其客户之一的安全检测平台于2016年7月28日发现了一种奇怪的状况。

在查询了大量日志之后，研究人员发现了触发警报的对应日志条目。

“对方已经在一定程度上实现了访问，其能够通过终端服务客户端同Windows任务管理器shell进行交互，”SecureWorks反威胁部门（简称CTU）的研究人员指出。

恶意人士使用的MMC (mmc.exe)

“上图所示为恶意人士利用微软管理控制台（简称MMC）启动Hyper-V管理器，后者用于管理微软的虚拟机基础设施，”该团队补充称。

虚拟机能够隐藏恶意活动，确保其免受安全产品的检测

入侵者试图在受感染的主机上启动一套虚拟机。幸运的是，入侵者获得了访问权限的设备本身就是虚拟机，而虚拟机彼此之间不能相互嵌套。

攻击者未能达成目标，但这证明黑客们已经开始尝试这种新的踪迹隐藏手段。

他们的计划非常高明，而且经过了深思熟虑。通过构建并启动虚拟机，他们将能够接入内部系统并执行恶意行为。在这种情况下，安全产品将无法发现相关行为。

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。