MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1564.006: Запуск в виртуальной среде

Злоумышленники могут выполнять вредоносные операции внутри виртуального экземпляра, чтобы избежать обнаружения. Существует множество технологий виртуализации, которые позволяют эмулировать вычислительную среду или компьютер целиком. Запуская вредоносный код внутри виртуального экземпляра, злоумышленники могут скрыть артефакты его активности от средств безопасности, которые не отслеживают поведение внутри виртуальных сред. Кроме того, в зависимости от реализации работы с сетью (например, при подключении в режиме сетевого моста), трафик виртуального экземпляра может быть сложно связать со скомпрометированным хостом, так как IP-адрес и имя хоста могут не совпадать с известными значениями.

Злоумышленники могут использовать встроенную поддержку виртуализации (например, Hyper-V) или внедрить все нужные файлы для запуска виртуального экземпляра (например, исполняемые файлы VirtualBox). После запуска виртуального экземпляра злоумышленники могут создать общую папку для передачи данных между гостем и хостом с нужными разрешениями, чтобы виртуальный экземпляр мог взаимодействовать с файловой системой хоста.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. \nЗлоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки

Способы обнаружения

IDDS0007Источник и компонент данныхОбраз: Метаданные образаОписание

Consider monitoring the size of virtual machines running on the system. Adversaries may create virtual images which are smaller than those of typical virtual machines. Network adapter information may also be helpful in detecting the use of virtual instances.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes associated with running a virtual instance, such as those launched from binary files associated with common virtualization technologies (ex: VirtualBox, VMware, QEMU, Hyper-V).

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor for changes made to Windows Registry keys and/or values that may be the result of using a virtual instance to avoid detection. For example, if virtualization software is installed by the adversary the Registry may provide detection opportunities.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Consider monitoring for commands and arguments that may be atypical for benign use of virtualization software. Usage of virtualization binaries or command-line arguments associated with running a silent installation may be especially suspect (ex. -silent, -ignore-reboot), as well as those associated with running a headless (in the background with no UI) virtual instance (ex. VBoxManage startvm $VM --type headless). Similarly, monitoring command line arguments which suppress notifications may highlight potentially malicious activity (ex. VBoxManage.exe setextradata global GUI/SuppressMessages "all"). Monitor for commands which enable hypervisors such as Hyper-V.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files associated with running a virtual instance, such as binary files associated with common virtualization technologies (ex: VirtualBox, VMware, QEMU, Hyper-V).

IDDS0019Источник и компонент данныхСлужба: Создание службыОписание

Monitor for newly constructed services/daemons that may carry out malicious operations using a virtual instance to avoid detection. Consider monitoring for new Windows Service, with respect to virtualization software.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Disable Hyper-V if not necessary within a given environment.

IDM1038НазваниеЗащита от выполненияОписание

Use application control to mitigate installation and use of unapproved virtualization software.