Des acteurs malveillants ont été détectés en train d’abuser de la plate-forme d’hyperviseur open source QEMU comme outil de tunneling dans une cyberattaque contre une grande entreprise.
QEMU est un émulateur et hyperviseur gratuit qui vous permet d’exécuter d’autres systèmes d’exploitation en tant qu’invités sur un ordinateur.
Dans le cadre de l’attaque, les auteurs de la menace ont utilisé QEMU pour créer des interfaces réseau virtuelles et un périphérique réseau de type socket pour se connecter à un serveur distant. Cela a permis aux auteurs de la menace de créer un tunnel réseau entre le système de la victime et le serveur de l’attaquant avec un impact négligeable sur les performances du système.
Ce cas inhabituel, qui met en évidence les diverses méthodes utilisées par les attaquants pour rester furtifs, a été découvert par les analystes de Kaspersky qui ont été appelés à enquêter sur les activités suspectes dans les systèmes de l’entreprise piratée.
Tunnels de réseau furtifs
Les pirates informatiques créent des tunnels réseau pour établir un canal de communication furtif et sécurisé entre eux et un système compromis.
En règle générale, ces tunnels chiffrent le trafic réseau pour aider à contourner les pare-feu, les systèmes de détection d’intrusion et d’autres mesures de sécurité.
Kaspersky affirme que dans 10% des cas sur lesquels il a enquêté au cours des trois dernières années, les pirates ont utilisé les utilitaires FRP et ngrok pour créer des tunnels. Les autres outils de tunneling utilisés dans les attaques incluent les tunnels CloudFlare, Stowaway, ligolo, 3proxy, dog-tunnel, chisel, gs-netcat, plink, iox et nps.
En raison de leurs abus fréquents par les cybercriminels, les défenseurs et les outils de surveillance traitent ces outils avec suspicion.
Dans ce cas inhabituel impliquant QEMU, les attaquants ont décidé de tirer parti d’un outil moins conventionnel pour créer des tunnels réseau qui ne déclencheraient probablement aucune alarme, même si cela impliquait d’abandonner le cryptage du trafic.
De plus, QEMU offre des capacités uniques telles que l’émulation d’un large éventail de réseaux matériels et virtuels, permettant aux activités malveillantes de se fondre dans le trafic de virtualisation bénin et de relier des parties de réseau segmentées via des points de pivot de machine virtuelle stratégiquement configurés.
Porte dérobée légère comme une plume
Dans l’attaque vue par Kaspersky, les pirates ont utilisé « Angry IP Scanner » pour l’analyse du réseau, « mimikatz » pour le vol d’informations d’identification et QEMU pour créer une configuration sophistiquée de tunneling réseau facilitant un canal de communication secret.
Les attaquants ont tenté de garder leur empreinte aussi minimale que possible, n’allouant que 1 Mo de RAM à la machine virtuelle qu’ils ont créée, réduisant considérablement les chances de détection par la consommation de ressources.
La configuration de la machine virtuelle, qui a été démarrée sans utiliser de LiveCD ou d’image disque, inclut les arguments suivants:
- netdev user, id = lan, restrict = off: Configure un backend réseau nommé ‘ lan ‘ en mode utilisateur, permettant un accès réseau illimité via la pile réseau de l’hôte.
- socket netdev, id = sock, connect= < IP>: 443: Établit une connexion socket à une adresse IP spécifiée sur le port 443, créant un lien réseau direct pour le backend ‘sock’.
- netdev hubport, id = port-lan, hub id = 0, netdev = lan / sock: Relie un périphérique réseau (terrestre ou dock) à un hub virtuel hub id = 0, facilitant la connectivité réseau entre différents backends.
- nographic: Exécute QEMU sans interface graphique, optant uniquement pour une interaction en ligne de commande, réduisant ainsi sa visibilité et son empreinte sur les ressources.
Kaspersky a effectué des tests simulés pour reproduire l’utilisation spécifique de QEMU par les attaquants, concluant que la configuration ressemblait à celle du diagramme ci-dessous.
À l’aide de QEMU, les attaquants ont établi un tunnel réseau à partir de l’hôte interne ciblé qui n’avait pas accès à Internet vers un hôte pivot avec accès à Internet, qui à son tour se connecte au serveur de l’attaquant sur le cloud, exécutant une machine virtuelle Kali Linux.
La capacité des machines virtuelles QEMU à se connecter de manière transparente et à relier des composants réseau segmentés est essentielle pour contourner les mesures de sécurité et peut également être utilisée pour aggraver la violation latéralement.
Kaspersky dit que l’entreprise devrait adopter une protection à plusieurs niveaux pour détecter l’utilisation d’outils légitimes comme celui-ci, y compris la surveillance du réseau 24h / 24 et 7j / 7, ce qui peut être hors de prix pour de nombreuses petites entreprises.
« Cela renforce le concept de protection à plusieurs niveaux, qui couvre à la fois une protection fiable des terminaux et des solutions spécialisées pour détecter et se protéger contre les attaques complexes et ciblées, y compris celles opérées par l’homme », a conclu Kaspersky.
« Seule une sécurité complète incluant une surveillance 24h / 24 et 7j / 7 du réseau (NDR, NGFW) et des terminaux (EDR, EPP), par des experts SOC pour l’un, peut détecter les anomalies en temps opportun et bloquer une attaque à son stade initial. »