QEMUは、異なるCPUアーキテクチャ(ARM, RISC-Vなど)のOSやプログラムを、ホストPC上で動作させるオープンソースの汎用エミュレータ兼ハイパーバイザです。
ハードウェア全体(CPU, メモリ, NIC)を仮想化してシミュレーションします。
このことから、RISC-VやSPARC、ARMのCPUも完全に仮想化して実行することが可能といった良い面が出ています。
一方で、その仕組みのせいでVMwareやVirtualBoxと比べ実行速度はかなり遅くなってしまいます。
限定的ではありますが、x86_64については、KVMと連携すると高速な仮想化環境を実現できます。
このQEMU、いろいろな場面で使われていますが、脅威アクターの活動を検出検査するため、という方向側でなく、脅威アクター自身が使うという方向の活動が確認されています。
- 入口は脆弱性の悪用
脅威アクターの活動は脆弱性を悪用したアクセスから開始されます。
接続できるとその経路を使ってZIPファイルを送り込み、長期的に利用できるリモートアクセスのためのソフトウェアを現地で動作させます。 - 検査させない
脅威アクターの興味はここにあるのでしょう。
脅威アクターは攻撃のための機構をQEMUのVMのなかに準備します。
仮想マシンの外側であるホスト上のセキュリティソリューションは仮想マシン内部をスキャンできないため、攻撃者は仮想マシンを利用してペイロードを実行したり、悪意のあるファイルを保存したり、 SSH経由で秘密裏にリモートアクセス用のトンネルを作成したりしても、その機構の存在は判定されません。
脅威アクターは、Impacket、KrbRelayx、Coercer、BloodHound.py、NetExec、Kerbrute、Metasploit、Python、Rust、Ruby、C++のサポートライブラリを含む、攻撃スイート全体をVM内に準備します。 - 集めて抜き取る
準備が整うと、脅威アクターは情報を集めて持ち出します。
認証情報の収集、Kerberosユーザ名の列挙、Active Directoryの偵察、FTPサーバを介したデータ流出のためのデータ準備の実施、といった活動を行います。
QEMUはもともとはLinux環境で使うツールとして登場しました。
しかし現在は、Linux、Windows、macOS、BSD系OSなど、主要なOSのほとんどで利用できます。
入れたはずのないソフトウェアが存在して動作している、いつのまにかVMがいる、そんなことになっていないか、確認しておいたほうが良さそうです。
QEMU abused to evade detection and enable ransomware delivery
https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery
| この記事をシェア |
|
|---|
