Техника на mitre.org

T1564.006: Запуск в виртуальной среде

Злоумышленники могут выполнять вредоносные операции внутри виртуального экземпляра, чтобы избежать обнаружения. Существует множество технологий виртуализации, которые позволяют эмулировать вычислительную среду или компьютер целиком. Запуская вредоносный код внутри виртуального экземпляра, злоумышленники могут скрыть артефакты его активности от средств безопасности, которые не отслеживают поведение внутри виртуальных сред. Кроме того, в зависимости от реализации работы с сетью (например, при подключении в режиме сетевого моста), трафик виртуального экземпляра может быть сложно связать со скомпрометированным хостом, так как IP-адрес и имя хоста могут не совпадать с известными значениями.

Злоумышленники могут использовать встроенную поддержку виртуализации (например, Hyper-V) или внедрить все нужные файлы для запуска виртуального экземпляра (например, исполняемые файлы VirtualBox). После запуска виртуального экземпляра злоумышленники могут создать общую папку для передачи данных между гостем и хостом с нужными разрешениями, чтобы виртуальный экземпляр мог взаимодействовать с файловой системой хоста.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. Злоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки

Способы обнаружения

ID	DS0007	Источник и компонент данных	Образ: Метаданные образа	Описание	По возможности отслеживайте размеры виртуальных машин, работающих в системе. Злоумышленники могут создавать образы виртуальных машин, размер которых меньше, чем у обычных виртуальных машин. Также в обнаружении использования виртуальных экземпляров может помочь информация о сетевом адаптере.

ID	DS0019	Источник и компонент данных	Служба: Создание службы	Описание	Отслеживайте создание служб и демонов, которые могут выполнять вредоносные операции в пределах виртуального экземпляра, чтобы избежать обнаружения. По возможности отслеживайте новые службы Windows, учитывая при этом программное обеспечение для виртуализации.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в ключах и (или) значениях реестра Windows, с помощью которых злоумышленники могут выполнять операции в пределах виртуального экземпляра, чтобы избежать обнаружения. Например, через реестр можно попытаться обнаружить ПО для виртуализации, установленное злоумышленником.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение новых процессов, связанных с запуском виртуальных экземпляров, в частности бинарных файлов распространенных приложений виртуализации (таких как VirtualBox, VMware, QEMU и Hyper-V).

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, связанных с запуском виртуальных экземпляров, включая бинарные файлы, которые связаны с распространенными технологиями виртуализации (например, VirtualBox, VMware, QEMU и Hyper-V).

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	По возможности отслеживайте команды с аргументами, которые, как правило, не используются в легитимных процессах ПО для виртуализации. Особенно подозрительным является использование бинарных файлов систем виртуализации и аргументов командной строки, связанных с запуском автоматической установки (например, `-silent` и `-ignore-reboot`), а также запуском виртуальной машины без взаимодействия с пользовательским интерфейсом (например, `VBoxManage startvm $VM --type headless`). Также отслеживайте аргументы командной строки, отключающие уведомления, которые могут указывать на потенциально вредоносную активность (например, `VBoxManage.exe setextradata global GUI/SuppressMessages "all"`). Отслеживайте команды, используемые для включения гипервизоров, таких как Hyper-V.

ID	Источник и компонент данных	Описание
DS0007	Образ: Метаданные образа	По возможности отслеживайте размеры виртуальных машин, работающих в системе. Злоумышленники могут создавать образы виртуальных машин, размер которых меньше, чем у обычных виртуальных машин. Также в обнаружении использования виртуальных экземпляров может помочь информация о сетевом адаптере.
DS0019	Служба: Создание службы	Отслеживайте создание служб и демонов, которые могут выполнять вредоносные операции в пределах виртуального экземпляра, чтобы избежать обнаружения. По возможности отслеживайте новые службы Windows, учитывая при этом программное обеспечение для виртуализации.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в ключах и (или) значениях реестра Windows, с помощью которых злоумышленники могут выполнять операции в пределах виртуального экземпляра, чтобы избежать обнаружения. Например, через реестр можно попытаться обнаружить ПО для виртуализации, установленное злоумышленником.
DS0009	Процесс: Создание процесса	Отслеживайте выполнение новых процессов, связанных с запуском виртуальных экземпляров, в частности бинарных файлов распространенных приложений виртуализации (таких как VirtualBox, VMware, QEMU и Hyper-V).
DS0022	Файл: Создание файла	Отслеживайте создание файлов, связанных с запуском виртуальных экземпляров, включая бинарные файлы, которые связаны с распространенными технологиями виртуализации (например, VirtualBox, VMware, QEMU и Hyper-V).
DS0017	Команда: Выполнение команд	По возможности отслеживайте команды с аргументами, которые, как правило, не используются в легитимных процессах ПО для виртуализации. Особенно подозрительным является использование бинарных файлов систем виртуализации и аргументов командной строки, связанных с запуском автоматической установки (например, `-silent` и `-ignore-reboot`), а также запуском виртуальной машины без взаимодействия с пользовательским интерфейсом (например, `VBoxManage startvm $VM --type headless`). Также отслеживайте аргументы командной строки, отключающие уведомления, которые могут указывать на потенциально вредоносную активность (например, `VBoxManage.exe setextradata global GUI/SuppressMessages "all"`). Отслеживайте команды, используемые для включения гипервизоров, таких как Hyper-V.

Меры противодействия

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите Hyper-V, если он не нужен в данной среде.

ID	M1038	Название	Защита от выполнения	Описание	Используйте контроль приложений для защиты от установки и использования несанкционированного программного обеспечения для виртуализации.

ID	Название	Описание
M1042	Отключение или удаление компонента или программы	Отключите Hyper-V, если он не нужен в данной среде.
M1038	Защита от выполнения	Используйте контроль приложений для защиты от установки и использования несанкционированного программного обеспечения для виртуализации.