ClickCease Ciberatacantes aprovechan QEMU para crear túneles de red sigilosos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Ciberatacantes aprovechan QEMU para crear túneles de red sigilosos

por Rohan Timalsina

18 de marzo de 2024 - Equipo de expertos TuxCare

En los últimos tiempos, se han descubierto actores maliciosos que utilizan técnicas innovadoras para infiltrarse en sistemas y redes. Una de ellas consiste en abusar del emulador de hardware de código abierto Q EMU como herramienta de tunelización durante los ciberataques. Los actores de la amenaza crearon interfaces de red virtuales y un dispositivo de red de tipo socket utilizando QEMU para facilitar la conexión a un servidor remoto. Esta táctica permitía establecer un túnel de red desde el sistema de la víctima hasta el servidor del atacante con un impacto mínimo en el rendimiento del sistema.

 

QEMU como herramienta de tunelización

 

Los investigadores de Kaspersky Grigory Sablin, Alexander Rodchenko y Kirill Magaskin arrojan luz sobre esta tendencia emergente, revelador cómo los actores de amenazas han capitalizado las características de QEMU para establecer canales de comunicación encubiertos dentro de las redes objetivo. Utilizando el -netdev para crear dispositivos de red, los adversarios pueden establecer conexiones entre máquinas virtuales, eludiendo de forma eficaz las medidas de seguridad tradicionales.

La tunelización de redes es la técnica utilizada para encapsular y transferir paquetes de datos entre dos extremos de la red, normalmente a través de una red intermediaria que puede no soportar el protocolo original utilizado. Al crear un "túnel" virtual dentro de la arquitectura de red existente, los datos pueden atravesar la red intermediaria de forma privada y segura.

El equipo de Kaspersky mencionó que fueron capaces de crear un túnel de red entre un host pivote que está conectado a Internet y un host interno que no está conectado a Internet dentro de la red de la empresa. Desde allí, el túnel continúa hasta el servidor en la nube del atacante, que ejecuta el emulador QEMU. Debido a esta arquitectura encubierta, los actores de amenazas pueden ocultar su actividad dañina dentro del tráfico legítimo de la red, lo que supone un reto difícil de detectar y mitigar para los especialistas en ciberseguridad.

Según Kaspersky, las herramientas de creación de túneles más utilizadas por los hackers son FRP y ngrok, con un 10% del total de ataques en los últimos tres años. Otras herramientas utilizadas para crear túneles son CloudFlare tunnels, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox y nps. Sin embargo, con QEMU, los atacantes optaron por un enfoque menos convencional para crear túneles de red, priorizando el sigilo sobre el cifrado del tráfico.

 

Conclusión

 

La idea de utilizar herramientas fiables con fines maliciosos no es nueva en el campo de la ciberseguridad. Por otra parte, el uso de QEMU como programa de tunelización indica un avance significativo en la complejidad de los ciberataques. Así pues, las organizaciones deben seguir vigilantes y proactivas a la hora de reforzar sus defensas contra vectores de ataque en constante evolución.

Para proteger sus sistemas de virtualización basados en QEMU, puede utilizar la solución de parcheado en vivo QEMUCare, que puede parchear automáticamente sus infraestructuras sin necesidad de reiniciar o migrar las máquinas virtuales.

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
Ciberatacantes aprovechan QEMU para crear túneles de red sigilosos
Nombre del artículo
Ciberatacantes aprovechan QEMU para crear túneles de red sigilosos
Descripción
Descubra los últimos riesgos de ciberseguridad. Descubra cómo los hackers utilizan QEMU como herramienta de tunelización para realizar ataques furtivos.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín