Hackers abusam do QEMU para tunelar clandestinamente o tráfego de rede em ciberataques
6 de Março de 2024

Atores maliciosos foram detectados abusando da plataforma de hipervisor de código aberto QEMU como uma ferramenta de tunelamento em um ataque cibernético contra uma grande empresa.

QEMU é um emulador gratuito e hipervisor que permite executar outros sistemas operacionais como convidados em um computador.

Como parte do ataque, atores de ameaças usaram o QEMU para criar interfaces de rede virtuais e um dispositivo de rede tipo socket para conectar a um servidor remoto.

Isso permitiu que os atores de ameaças criassem um túnel de rede do sistema da vítima para o servidor do invasor com impacto negligenciável no desempenho do sistema.

Este caso incomum, que destaca os diversos métodos que os invasores usam para permanecer ocultos, foi descoberto por analistas da Kaspersky que foram chamados para investigar atividades suspeitas nos sistemas da empresa violada.

Hackers criam túneis de rede para estabelecer um canal de comunicação furtivo e seguro entre eles e um sistema comprometido.

Geralmente, esses túneis criptografam o tráfego da rede para ajudar a contornar firewalls, sistemas de detecção de intrusões e outras medidas de segurança.

A Kaspersky diz que em 10% dos casos que investigou nos últimos três anos, hackers usaram as utilidades FRP e ngrok para criar túneis.

Outras ferramentas de tunelamento utilizadas em ataques incluem túneis CloudFlare, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox e nps.

Devido ao seu abuso frequente por cibercriminosos, defensores e ferramentas de monitoramento tratam essas ferramentas com suspeita.

Neste caso incomum envolvendo o QEMU, os invasores decidiram usar uma ferramenta menos convencional para criar túneis de rede que provavelmente não despertariam nenhum alarme, mesmo que isso significasse renunciar à criptografia de tráfego.

Além disso, o QEMU oferece capacidades únicas como emular uma ampla gama de hardware e redes virtuais, permitindo que atividades maliciosas se misturem com o tráfego de virtualização benigna e ligando partes de rede segmentadas através de pontos de pivô de VM estrategicamente configurados.

No ataque visto pela Kaspersky, os hackers utilizaram 'Angry IP Scanner' para a varredura de rede, 'mimikatz' para roubo de credenciais e o QEMU para criar uma configuração sofisticada de tunelamento de rede que facilitou um canal de comunicação furtivo.

Os invasores tentaram manter sua pegada o mais mínima possível, alocando apenas 1MB de RAM para a máquina virtual que criaram, reduzindo bastante as chances de detecção através do consumo de recursos.

A configuração da VM, que foi iniciada sem usar um LiveCD ou imagem de disco, inclui os seguintes argumentos:

-netdev user,id=lan,restrict=off: Configura um backend de rede chamado 'lan' no modo de usuário, permitindo acesso irrestrito à rede através da pilha de rede do host.

-netdev socket,id=sock,connect=<IP>:443: estabelece uma conexão de socket com um endereço IP especificado na porta 443, criando uma ligação de rede direta para o backend 'sock'.

-netdev hubport,id=port-lan,hubid=0,netdev=lan/sock: vincula um dispositivo de rede (lan ou sock) a um hub virtual hubid=0, facilitando a conectividade de rede entre diferentes backends.

-nographic: Executa o QEMU sem uma interface gráfica, optando pela interação apenas por linha de comando, reduzindo sua visibilidade e consumo de recursos.

A Kaspersky conduziu testes simulados para replicar o uso específico do QEMU pelos invasores, concluindo que a configuração parecia a do diagrama abaixo.

Usando o QEMU, os invasores estabeleceram um túnel de rede do host interno alvo que não tinha acesso à internet para um host pivô com acesso à internet, que por sua vez se conecta ao servidor do invasor na nuvem, executando uma VM do Kali Linux.

A capacidade das VMs do QEMU de se conectarem perfeitamente e ligarem componentes de rede segmentados é fundamental para contornar medidas de segurança e também pode ser usada para expandir a violação lateralmente.

A Kaspersky diz que a empresa deve adotar proteção de vários níveis para detectar o uso de ferramentas legítimas como essa, incluindo monitoramento de rede 24/7, que pode estar fora do alcance para muitas pequenas empresas.

"Isso ressalta ainda mais o conceito de proteção de múltiplos níveis, que abrange tanto a proteção confiável do endpoint, quanto soluções especializadas para detectar e proteger contra ataques complexos e direcionados, incluindo aqueles operados por humanos", concluiu a Kaspersky.

"Apenas uma segurança abrangente que inclua monitoramento de rede (NDR, NGFW) e endpoint (EDR, EPP) 24/7, por especialistas do SOC, pode detectar anomalias em tempo hábil e bloquear um ataque em seu estágio inicial."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...