QEMU, kendi ortamlarında kötü amaçlı kodları, açıklardan yararlanmaları ve saldırıları denemek için güvenli ve özel sanallaştırılmış bir alan sağlayan açık kaynaklı bir platformdur.
Bu kontrollü test alanı, tespit edilme ve hukuki riskleri en aza indirir.
Üstelik QEMU, bilgisayar korsanlarının farklı donanım mimarileri ve işletim sistemlerinde çalışabilen kötü amaçlı yazılım geliştirmesine de izin veriyor.
Kaspersky Labs'taki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının çalınan verileri gizlice dışarı çıkarmak için QEMU donanım emülatörünü kötüye kullandığını keşfetti.
QEMU Donanım Emülatörü
Saldırganlar, tespit edilmekten kaçınmak ve aynı zamanda kötü amaçlı yazılım harcamalarını azaltmak için orijinal araçları kullanmayı severler.
Veri sızdırma, sürücü şifreleme, uzaktan yürütme ve bellek boşaltma, güvenilir yazılımın desteklediği ağ tarama etkinliklerinden bazılarıdır.
Önceden yüklenmiş kötü amaçlı yazılımlar veya çalışanların taklit ettiği RDP/VPN erişimi, güvenliği ihlal edilmiş sistemlerde dayanak görevi görür.
Ağ tünelleri ve bağlantı noktası yönlendirme yardımcı programları, kullanıcıların NAT ve güvenlik duvarlarını atlamasına ve böylece dahili sisteme giriş yapmasına olanak tanır.
Sistemler arasında ağ tünelleri oluşturmak için çok sayıda araç mevcuttur; bunlardan bazıları doğrudan, diğerleri ise saldırganın IP'lerini maskelemek için proxy'ler kullanır.
Bu araçlar, araştırmacıların son üç yıldaki olaylara müdahale çabaları sırasında sıklıkla ortaya çıktı.
Aşağıda araçlardan bahsettik: –
- Kaçak yolcu
- boyun
- 3 vekil
- köpek tüneli
- keski
- CTP
- etek
- gs-netcat
- şaka yapmak
- şaka
- nps
Uzmanlar yakın zamanda yapılan bir soruşturma sırasında bir şirketin sisteminde şüpheli aktiviteyi ortaya çıkardı. Tespit edilen araçlar arasında Angry IP Scanner, mimikatz ve QEMU vardı.
QEMU'nun varlığı güvenlik analistlerini şaşırttı; saldırganlar neden sanallaştırıcı kullansın? Daha ileri analizler, LiveCD veya disk görüntüsü olmayan alışılmadık bir QEMU yürütme komut satırı ortaya çıkardı.
Aşağıda tüm argümanlardan bahsettik: –
- m 1M: Çoğu işletim sistemi için yetersiz olan yalnızca 1 MB RAM ayrılmıştır.
- netdev kullanıcısı,id=lan,restrict=kapalı: Kısıtlama olmaksızın harici olarak iletişim kurmak için sanal ağ arayüzü 'lan' oluşturuldu.
- netdev soketi,id=sock,connect=
:443: Uzak sunucuya bağlı soket arayüzü 'çorap':443. - netdev hubport,id=port-lan/port-sock,hubid=0,netdev=lan/çorap: 'lan' ve 'sock' arayüzlerine bağlı sanal merkeze bağlantı noktaları eklendi.
- nografik: QEMU'yu GUI olmayan konsol modunda başlattı.
Dış
.webp)
Uzmanlar, AttackerServer üzerinde bir Kali Linux VM oluşturmak için QEMU'yu kullandı. VM bir soket adaptörü aracılığıyla bağlandı ve 443 numaralı bağlantı noktasında dinlendi.
PivotHost'un, AttackerServer'ın 443 numaralı bağlantı noktası üzerinden yuvaya bağlanan başka bir QEMU örneği vardı.
Kullanıcı adaptörü hub aracılığıyla sokete bağlandı. Düşmanın QEMU seçenekleri taklit edildi.
QEMU, PivotHost'tan Kali VM'ye alt ağ taramalarını etkinleştirmek için bir PivotHost-AttackerServer tüneli kurdu.
QEMU, şifrelenmemiş kapsüllenmiş paketler gönderdiğinden tünel trafiğini şifrelemez. Paket verileri Ethernet çerçeve boyutunu ve çerçevesini içerir.
Başlıkların kaldırılması, trafiğin kesilmesini sağlayabilir. Ancak tehdit aktörleri meşru araçları da ustaca kullanıyor.
SOC uzmanları tarafından uç nokta ve ağ izleme ile çok düzeyli koruma, nadirliğin zamanında tespiti ve saldırıların engellenmesi için çok önemlidir. MDR hizmeti şüpheli QEMU etkinliğini tespit edebilir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan