攻击者利用虚拟机“掩盖”恶意行为

SecureWorks公司公布了一种入侵方式——攻击者在目标电脑上尝试安装并运行虚拟机，达到掩盖恶意操作的目的。

入侵并安装虚拟机

虚拟机在不同的人手中有不同的作用，最近又有黑客盯上了虚拟机。

对于非专业用户来说，虚拟机是一个模拟的文件系统，也就是说在现有的操作系统中再安装一个操作系统，而用户只需通过点击桌面上的图标来启动Linux或Windows98。对于软件开发员来说，虚拟机通常用来测试产品或是嵌入到其它应用中，例如某些安全软件。

最近SecureWorks接收到一个紧急通知，他们的一个客户公司称7月28日在其安全平台上检测到一些异常的情况。从该公司的系统管理员那里请求到了更多的日志后，SecureWorks的研究人员发现了使他们的产品触发警报的日志报告。

SecureWorks公司反威胁团队（CTU）研究人员指出：

“对方得到了访问权限，使他能够通过终端服务客户端的Windows资源管理器外壳进行交互。”

图一

上图展示了使用Microsoft管理控制台（MMC）创建了Hyper-V管理器（用于管理微软虚拟机（VM）的基础设施）

躲过安全产品的检查

攻击试图在感染的主机上启动虚拟机。所幸，他们获得访问权限的机器是单独的一台虚拟机本身而它无法跟其他虚拟机相互嵌套。

虽然攻击者在他的尝试中失败了，但是这说明一个新的威胁出现了，攻击者能够利用虚拟机来掩盖他们的恶意操作。攻击者在建立和启动虚拟机之后，他们就已经能够连接到虚拟机，并执行恶意操作，如穿插敏感数据，这些都是安全产品无法触及的地方。

*参考来源softpedia，FB小编bimeover编译