T1564.006: Запуск в виртуальной среде
Злоумышленники могут выполнять вредоносные операции внутри виртуального экземпляра, чтобы избежать обнаружения. Существует множество технологий виртуализации, которые позволяют эмулировать вычислительную среду или компьютер целиком. Запуская вредоносный код внутри виртуального экземпляра, злоумышленники могут скрыть артефакты его активности от средств безопасности, которые не отслеживают поведение внутри виртуальных сред. Кроме того, в зависимости от реализации работы с сетью (например, при подключении в режиме сетевого моста), трафик виртуального экземпляра может быть сложно связать со скомпрометированным хостом, так как IP-адрес и имя хоста могут не совпадать с известными значениями.
Злоумышленники могут использовать встроенную поддержку виртуализации (например, Hyper-V) или внедрить все нужные файлы для запуска виртуального экземпляра (например, исполняемые файлы VirtualBox). После запуска виртуального экземпляра злоумышленники могут создать общую папку для передачи данных между гостем и хостом с нужными разрешениями, чтобы виртуальный экземпляр мог взаимодействовать с файловой системой хоста.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. \nЗлоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки
Способы обнаружения
ID | DS0007 | Источник и компонент данных | Образ: Метаданные образа | Описание | Consider monitoring the size of virtual machines running on the system. Adversaries may create virtual images which are smaller than those of typical virtual machines. Network adapter information may also be helpful in detecting the use of virtual instances. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes associated with running a virtual instance, such as those launched from binary files associated with common virtualization technologies (ex: VirtualBox, VMware, QEMU, Hyper-V). |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Monitor for changes made to Windows Registry keys and/or values that may be the result of using a virtual instance to avoid detection. For example, if virtualization software is installed by the adversary the Registry may provide detection opportunities. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Consider monitoring for commands and arguments that may be atypical for benign use of virtualization software. Usage of virtualization binaries or command-line arguments associated with running a silent installation may be especially suspect (ex. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files associated with running a virtual instance, such as binary files associated with common virtualization technologies (ex: VirtualBox, VMware, QEMU, Hyper-V). |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Monitor for newly constructed services/daemons that may carry out malicious operations using a virtual instance to avoid detection. Consider monitoring for new Windows Service, with respect to virtualization software. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Disable Hyper-V if not necessary within a given environment. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Use application control to mitigate installation and use of unapproved virtualization software. |
---|