利用虚拟机(VM)从事攻击行动的事故,大约5至10年前曾出现数起,当时黑客使用搭配旧版窗口操作系统(如Windows XP)的VM,意图突破受害计算机的安全防护机制,进行恶意活动,如今类似的攻击行动再度出现。
安全企业Securonix披露名为Cron#Trap的安全事故,他们在调查利用恶意捷径文件(LNK)的攻击行动其中,发现该文件一旦执行,就会加载并启动以QEMU打造的Linux环境,而且,这些VM已经事先设置了后门程序,启动后会自动与C2进行连接。
研究人员指出,由于在开发环境或是研究经常会使用QEMU,攻击者运用这样的做法,能够在受害计算机维持隐形的状态,并进行后续的恶意活动,且难以被杀毒软件发现。研究人员提到,这是他们首度看到有攻击者将QEMU用于挖矿以外的攻击行动。
针对攻击者与受害范围,研究人员表示尚无法确定,根据遥测数据,大多数攻击来自美国及欧洲,再加上黑客惯用的语言,以及C2服务器位于美国,他们推测主要目标很有可能是北美。
针对这波攻击行动,研究人员无法确定攻击来源,不过他们认为整个攻击流程的开始源于钓鱼邮件,内容包含下载ZIP压缩文件的连接。黑客假冒金融机构OneAmerica的名义,声称要进行调查。值得一提的是,这个ZIP文件大小竟高达285 MB,可能会引起部分用户怀疑。
究竟该压缩文件的内容是什么?其中包含了LNK文件及名为data的文件夹,而该文件夹实际上就是QEMU程序的安装目录。由于data文件夹里面的内容全部都被设为隐藏,一般用户可能会以为里面空无一物,而点击LNK文件触发攻击链。
一旦LNK文件执行,就会启动PowerShell下载其他需要的组件,然后执行批次文件start.bat进行组态设置,并启动在QEMU执行以Tiny Core Linux为基础打造的VM,他们将其称为PivotBox。
特别的是,该批次文件还会下载、显示内部服务器错误的PNG图片文件,借此让收信人降低戒心。
而这个VM预装的工具其中,关键是名为Chisel的网络隧道构建与运行工具,攻击者通过事先安排的组态设置,通过Web Socket与C2创建通信。
值得留意的是,滥用QEMU的情况已非首例。今年3月,安全企业卡巴斯基披露另一起网络攻击事故,其中黑客使用QEMU设置虚拟网络界面,并使用Kali Linux打造只占用1 MB内存的VM来构建隐秘的隧道。
