Cyberangreifer nutzen QEMU für heimliches Netzwerk-Tunneling aus
In jüngster Zeit wurden böswillige Akteure dabei ertappt, wie sie innovative Techniken zur Infiltration von Systemen und Netzwerken einsetzen. Eine dieser Entwicklungen ist der Missbrauch des Open-Source-Hardware-Emulators QEMU als Tunneling-Tool bei Cyberangriffen. Bedrohungsakteure erstellten mit QEMU virtuelle Netzwerkschnittstellen und ein Netzwerkgerät vom Typ Socket, um die Verbindung zu einem entfernten Server zu erleichtern. Diese Taktik ermöglichte die Einrichtung eines Netzwerktunnels vom System des Opfers zum Server des Angreifers mit minimalen Auswirkungen auf die Systemleistung.
QEMU als Tunneling-Werkzeug
Die Kaspersky-Forscher Grigory Sablin, Alexander Rodchenko und Kirill Magaskin beleuchten diesen neuen Trend, Enthüllung wie Bedrohungsakteure die Funktionen von QEMU genutzt haben, um verdeckte Kommunikationskanäle in Zielnetzwerken einzurichten. Durch die Nutzung der -netdev
Mit der Option, Netzwerkgeräte zu erstellen, können Angreifer Verbindungen zwischen virtuellen Maschinen herstellen und so herkömmliche Sicherheitsmaßnahmen effektiv umgehen.
Netzwerk-Tunneling ist eine Technik zur Verkapselung und Übertragung von Datenpaketen zwischen zwei Netzendpunkten, in der Regel über ein zwischengeschaltetes Netz, das das ursprünglich verwendete Protokoll möglicherweise nicht unterstützt. Durch die Schaffung eines virtuellen "Tunnels" innerhalb der bestehenden Netzarchitektur können die Daten das zwischengeschaltete Netz auf eine private und sichere Weise passieren.
Das Kaspersky-Team gab an, dass es in der Lage war, einen Netzwerktunnel zwischen einem Pivot-Host, der mit dem Internet verbunden ist, und einem internen Host, der nicht mit dem Internet verbunden ist, innerhalb des Unternehmensnetzwerks zu erstellen. Von dort aus führt der Tunnel weiter zum Cloud-basierten Server des Angreifers, auf dem der QEMU-Emulator läuft. Aufgrund dieser verdeckten Architektur können Bedrohungsakteure ihre schädlichen Aktivitäten im legitimen Netzwerkverkehr verbergen, was für Cybersicherheitsexperten eine schwierige Herausforderung bei der Erkennung und Eindämmung darstellt.
Laut Kaspersky sind FRP und ngrok mit 10 % aller Angriffe in den letzten drei Jahren die am häufigsten von Hackern genutzten Tunneling-Tools. Weitere Tools zur Erstellung von Tunneln sind CloudFlare-Tunnel, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox und nps. Bei QEMU haben sich die Angreifer jedoch für einen weniger konventionellen Ansatz zur Erstellung von Netzwerktunneln entschieden und der Tarnung Vorrang vor der Verschlüsselung des Datenverkehrs eingeräumt.
Schlussfolgerung
Die Idee, vertrauenswürdige Tools für böswillige Zwecke zu nutzen, ist im Bereich der Cybersicherheit nicht neu. Andererseits deutet die Verwendung von QEMU als Tunneling-Programm auf eine erhebliche Steigerung der Komplexität von Cyberangriffen hin. Unternehmen müssen daher weiterhin wachsam und proaktiv sein, um ihre Verteidigung gegen die sich ständig weiterentwickelnden Angriffsvektoren zu stärken.
Um Ihre QEMU-basierten Virtualisierungssysteme zu sichern, können Sie die QEMUCare Live-Patching-Lösung nutzen, die Ihre Infrastrukturen automatisch patchen kann, ohne dass Sie virtuelle Maschinen neu starten oder migrieren müssen.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.