ClickCease Des cyber-attaquants exploitent QEMU pour créer des tunnels réseau furtifs

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Des cyber-attaquants exploitent QEMU pour créer des tunnels réseau furtifs

par Rohan Timalsina

Le 18 mars 2024 - L'équipe d'experts de TuxCare

Ces derniers temps, des acteurs malveillants ont utilisé des techniques innovantes pour infiltrer les systèmes et les réseaux. L'une d'entre elles consiste à utiliser abusivement l'émulateur matériel open-source QEMU comme outil de tunnelisation lors de cyber-attaques. Les auteurs de la menace ont créé des interfaces réseau virtuelles et un périphérique réseau de type socket à l'aide de QEMU pour faciliter la connexion à un serveur distant. Cette tactique a permis d'établir un tunnel réseau entre le système de la victime et le serveur de l'attaquant avec un impact minimal sur les performances du système.

 

QEMU comme outil de tunneling

 

Les chercheurs de Kaspersky Grigory Sablin, Alexander Rodchenko et Kirill Magaskin ont fait la lumière sur cette nouvelle tendance, révélateur comment les acteurs de la menace ont capitalisé sur les caractéristiques de QEMU pour établir des canaux de communication clandestins au sein des réseaux cibles. En utilisant le -netdev Les adversaires peuvent établir des connexions entre les machines virtuelles, contournant ainsi les mesures de sécurité traditionnelles.

Le tunneling est la technique utilisée pour encapsuler et transférer des paquets de données entre deux points d'extrémité du réseau, généralement via un réseau intermédiaire qui peut ne pas prendre en charge le protocole d'origine utilisé. En créant un "tunnel" virtuel dans l'architecture du réseau existant, les données peuvent passer par le réseau intermédiaire de manière privée et sécurisée.

L'équipe de Kaspersky a indiqué qu'elle avait pu créer un tunnel réseau entre un hôte pivot connecté à Internet et un hôte interne qui n'est pas connecté à Internet au sein du réseau de l'entreprise. Le tunnel se poursuit jusqu'au serveur en nuage de l'attaquant, qui exécute l'émulateur QEMU. Grâce à cette architecture secrète, les acteurs de la menace peuvent dissimuler leurs activités nuisibles dans le trafic réseau légitime, ce qui représente un défi difficile à détecter et à atténuer pour les spécialistes de la cybersécurité.

Selon Kaspersky, les outils de tunnelisation les plus utilisés par les pirates sont FRP et ngrok, qui représentent 10 % du total des attaques au cours des trois dernières années. Parmi les autres outils utilisés pour créer des tunnels figurent les tunnels CloudFlare, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox et nps. Cependant, avec QEMU, les attaquants ont opté pour une approche moins conventionnelle de la création de tunnels réseau, privilégiant la furtivité au chiffrement du trafic.

 

Conclusion

 

L'idée d'utiliser des outils fiables à des fins malveillantes n'est pas nouvelle dans le domaine de la cybersécurité. En revanche, l'utilisation de QEMU comme programme de tunnelisation témoigne d'une avancée significative dans la complexité des cyberattaques. Les organisations doivent donc rester vigilantes et proactives pour renforcer leurs défenses contre des vecteurs d'attaque en constante évolution.

Pour sécuriser vos systèmes de virtualisation basés sur QEMU, vous pouvez utiliser la solution QEMUCare live patching qui peut automatiquement patcher vos infrastructures sans avoir besoin de redémarrer ou de migrer les machines virtuelles.

 

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Des cyber-attaquants exploitent QEMU pour créer des tunnels réseau furtifs
Nom de l'article
Des cyber-attaquants exploitent QEMU pour créer des tunnels réseau furtifs
Description
Découvrez les derniers risques en matière de cybersécurité. Apprenez comment les pirates utilisent QEMU comme outil de tunnelisation, permettant des attaques furtives.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information