黑客利用受感染PC上的虚拟机隐藏自身行迹
![]()
php?url=0EFtDvIhFU" alt="黑客利用受感染PC上的虚拟机隐藏自身行迹" />
![黑客利用受感染PC上的虚拟机隐藏自身行迹]()
3小时前来源:E安全
SecureWorks发现恶意人士所采用的新型技术
E安全8月24日讯 SecureWorks公司报告称,恶意人士已经开始使用新型战术,即在目标设备上安装并运行虚拟机,旨在隐藏自己的踪迹。
这些虚拟机负责模拟文件系统,且大多数情况下运行在现有操作系统之内。通俗地讲,虚拟机属于操作系统之内的操作系统,允许用户通过点击图标轻松打开桌面内的linux或者“windows 98”。
虚拟机一般由软件开发人员用于测试产品,且经常被嵌入至安全软件等其它应用当中。
恶意人士试图安装名为“New Virtual Machine”的新型虚拟机
SecureWorks公司报告称,最近其客户之一的安全检测平台于2016年7月28日发现了一种奇怪的状况。
在查询了大量日志之后,研究人员发现了触发警报的对应日志条目。
“对方已经在一定程度上实现了访问,其能够通过终端服务客户端同Windows任务管理器shell进行交互,”SecureWorks反威胁部门(简称CTU)的研究人员指出。
恶意人士使用的MMC (mmc.exe)
“上图所示为恶意人士利用微软管理控制台(简称MMC)启动Hyper-V管理器,后者用于管理微软的虚拟机基础设施,”该团队补充称。虚拟机能够隐藏恶意活动,确保其免受安全产品的检测
入侵者试图在受感染的主机上启动一套虚拟机。幸运的是,入侵者获得了访问权限的设备本身就是虚拟机,而虚拟机彼此之间不能相互嵌套。
攻击者未能达成目标,但这证明黑客们已经开始尝试这种新的踪迹隐藏手段。
他们的计划非常高明,而且经过了深思熟虑。通过构建并启动虚拟机,他们将能够接入内部系统并执行恶意行为。在这种情况下,安全产品将无法发现相关行为。
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。
