Jedna nejmenovaná firma zjistila, že QEMU může být zneužito jako prostředek pro tunelování dat, když identifikovala a analyzovala podezřelou síťovou aktivitu ve své infrastruktuře. Tuto skutečnost potvrdili i výzkumníci ze společnosti Kaspersky, kteří prokázali bezpečnostní incident.

Namísto dobře známých tunelovacích nástrojů jako Chisel, FRP, ligolo, ngrok, nebo Plink, na které jsou monitorovací nástroje citlivější, se útočníci rozhodli právě pro QEMU, které dokáže emulovat mimo jiné i socketové rozhraní a obcházet konvenční monitorovací nástroje. Přístup do kompromitované firmy byl řešen přes síť strategicky umístěných virtuálních strojů QEMU, které pivotovaly a ve finále tunelovaly komunikaci do internetu. Důležité je podotknout, že bylo obětováno šifrování komunikace ve prospěch nenápadnosti a tunelovaná data se tak tvářila jako běžný provoz. Vytvořené virtuální stroje měly alokován pouze 1 MB paměti RAM, díky čemuž byla jejich stopa na serverech minimální a jejich nalezení tedy nebylo snadné. Útočníci přistupovali k firemní infrastruktuře přes cloudový server s Kali Linuxem. Je to ale poprvé, co bylo k těmto účelům využito virtualizační platformy QEMU. Podobným útokům může předejít pouze detailní a nepřetržitý síťový monitoring společně s obezřetným SOC týmem. Také lze sledovat podezřelé instalace nástrojů, které v infrastruktuře společnost nepoužívá.

Máte – li obavy o svou virtuální bezpečnost, kontaktujte nás.