利用虛擬機器(VM)從事攻擊行動的事故,約莫5至10年前曾出現數起,當時駭客使用搭配舊版視窗作業系統(如Windows XP)的VM,意圖突破受害電腦的資安防護機制,進行惡意活動,如今類似的攻擊行動再度出現。
資安業者Securonix揭露名為Cron#Trap的資安事故,他們在調查利用惡意捷徑檔案(LNK)的攻擊行動當中,發現該檔案一旦執行,就會載入並啟動以QEMU打造的Linux環境,而且,這些VM已經事先設置了後門程式,啟動後會自動與C2進行連線。
研究人員指出,由於在開發環境或是研究經常會使用QEMU,攻擊者運用這樣的做法,能夠在受害電腦維持隱形的狀態,並進行後續的惡意活動,且難以被防毒軟體察覺。研究人員提到,這是他們首度看到有攻擊者將QEMU用於挖礦以外的攻擊行動。
針對攻擊者與受害範圍,研究人員表示尚無法確定,根據遙測資料,大多數攻擊來自美國及歐洲,再加上駭客慣用的語言,以及C2伺服器位於美國,他們推測主要目標很有可能是北美。
針對這波攻擊行動,研究人員無法確定攻擊來源,不過他們認為整個攻擊流程的開始源於釣魚郵件,內容包含下載ZIP壓縮檔的連結。駭客假冒金融機構OneAmerica的名義,聲稱要進行調查。值得一提的是,這個ZIP檔案大小竟高達285 MB,可能會引起部分使用者懷疑。
究竟該壓縮檔的內容是什麼?當中包含了LNK檔案及名為data的資料夾,而該資料夾實際上就是QEMU程式的安裝目錄。由於data資料夾裡面的內容全部都被設為隱藏,一般使用者可能會以為裡面空無一物,而點選LNK檔案觸發攻擊鏈。
一旦LNK檔案執行,就會啟動PowerShell下載其他需要的元件,然後執行批次檔start.bat進行組態設定,並啟動在QEMU執行以Tiny Core Linux為基礎打造的VM,他們將其稱為PivotBox。
特別的是,該批次檔還會下載、顯示內部伺服器錯誤的PNG圖檔,藉此讓收信人降低戒心。
而這個VM預載的工具當中,關鍵是名為Chisel的網路隧道建構與運作工具,攻擊者透過事先安排的組態設定,透過Web Socket與C2建立通訊。
值得留意的是,濫用QEMU的情況已非首例。今年3月,資安業者卡巴斯基揭露另一起網路攻擊事故,當中駭客使用QEMU設置虛擬網路介面,並使用Kali Linux打造只占用1 MB記憶體的VM來建置隱密的隧道。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15