网络罪犯发现了在被感染机器上隐藏自身罪恶活动的新方法——使用虚拟机。
2016年7月,SecureWorks团队观测到一名攻击者在被感染计算机上创建了一台虚拟机(VM),并试图使用这台VM来规避检测。该事件,是在SecureWorks为曾受到针对性攻击的某客户监视进程创建活动的时候被发现的。
研究人员还发现,攻击者已经取得了被感染环境一定程度的权限,可以通过终端服务客户端与Windows资源管理器shell互动。攻击者使用微软管理控制台(MMC),来启动Hyper-V虚拟机管理器。
虚拟机就是操作系统内的操作系统,可供用户测试应用程序,或在安全软件管理范围之外执行其他各种动作而又不会危及整个系统。如果虚拟机系统崩溃,直接删除或用另一个替换掉就行了,几分钟的事儿。
因为安全研究员使用VM分析恶意软件,网络罪犯就在他们的恶意程序里加进VM检测机制,阻止分析(其中一些甚至把数百种安全产品都列入了黑名单)。然而,是也不是所有的网络罪犯都不欢迎虚拟环境,有些甚至已经找到了利用VM的方法。
据SecureWorks的研究人员称,对手在创建了以通用名“新建虚拟机(New Virtual Machine)”命名的虚拟机后,会使用vmconnect.exe尝试连接。一份2016年7月28日的Windows事件日志,清楚地揭示出,攻击者滥用合法工具在被感染机器上创建并访问VM。
事件日志显示,对手使用MMC来创建并尝试启动新的VM。如果新建VM没有启动,攻击者会直接删除掉它。由于被感染的系统本身也是虚拟机,因而也就不能再启动一个新的VM了。
SecureWorks点出,该事件揭示出的,是攻击者想要隐藏自身恶意行动和规避检测的程度。如果攻击者成功创建并进入了虚拟机,他们可以利用VM来进行各种恶意活动,且事后简单删除掉该VM即可清除所有痕迹。