查看原文
其他

黑客利用受感染PC上的虚拟机隐藏自身行迹

2016-08-24 E安全 E安全


SecureWorks发现恶意人士所采用的新型技术

E安全8月24日讯 SecureWorks公司报告称,恶意人士已经开始使用新型战术,即在目标设备上安装并运行虚拟机,旨在隐藏自己的踪迹。

这些虚拟机负责模拟文件系统,且大多数情况下运行在现有操作系统之内。通俗地讲,虚拟机属于操作系统之内的操作系统,允许用户通过点击图标轻松打开桌面内的Linux或者“Windows 98”。

虚拟机一般由软件开发人员用于测试产品,且经常被嵌入至安全软件等其它应用当中。

恶意人士试图安装名为“New Virtual Machine”的新型虚拟机

SecureWorks公司报告称,最近其客户之一的安全检测平台于2016年7月28日发现了一种奇怪的状况。

在查询了大量日志之后,研究人员发现了触发警报的对应日志条目。

“对方已经在一定程度上实现了访问,其能够通过终端服务客户端同Windows任务管理器shell进行交互,”SecureWorks反威胁部门(简称CTU)的研究人员指出。

恶意人士使用的MMC (mmc.exe)

“上图所示为恶意人士利用微软管理控制台(简称MMC)启动Hyper-V管理器,后者用于管理微软的虚拟机基础设施,”该团队补充称。

虚拟机能够隐藏恶意活动,确保其免受安全产品的检测

入侵者试图在受感染的主机上启动一套虚拟机。幸运的是,入侵者获得了访问权限的设备本身就是虚拟机,而虚拟机彼此之间不能相互嵌套。

攻击者未能达成目标,但这证明黑客们已经开始尝试这种新的踪迹隐藏手段。

他们的计划非常高明,而且经过了深思熟虑。通过构建并启动虚拟机,他们将能够接入内部系统并执行恶意行为。在这种情况下,安全产品将无法发现相关行为。

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存