Melléfogtak a virtuális gépekkel trükköző támadók

A támadók általában igyekeznek elkerülni a virtuális rendszereket. Azonban vannak helyzetek, amikor éppen a virtualizáció segíti őket a támadásaik végrehajtásában.
 

Egyre több kártékony program kap olyan összetevőt, amelynek segítségével képessé válik a virtualizált rendszerek vagy a sandboxok felismerésére. Erre a vírusterjesztőknek azért van szükségük, mert alapvetően azt feltételezik, hogy ezek a rendszerek a károkozóik lebuktatását szolgálják, és víruskutatók vagy automatizált védelmi megoldások futtatják azokat. Ugyanakkor a virtualizáció számos olyan előnnyel is rendelkezik, amit sajnos a támadók is a saját javukra fordíthatnak. És meg is teszik.
 
A SecureWorks biztonsági kutatói a nyáron egy különös támadásra lettek figyelmesek, amelynek részleteit a napokban hozták nyilvánosságra. A céljuk az volt, hogy egy olyan újszerű támadási módszerre hívják fel a figyelmet, amely a jövőben még sok fejtörést okozhat mind az üzemeltetőknek, mind a védelmi technológiák fejlesztőinek. Nem másról van szó, mint hogy az elemzett támadás során az elkövetők a célkeresztbe állított számítógépen egy virtuális gépet hoztak létre, és azzal igyekeztek elérni a céljukat. Az ugyan nem derült ki, hogy az érintett rendszerhez miként fértek hozzá, de az már biztos, hogy a virtuális gépet távolról készítették, illetve próbálták hadra fogni.
 
Az akció során elsősorban az MMC konzol, illetve a Hyper-V Manager jutott főszerephez. Tulajdonképpen semmiféle ártalmas program nem volt az elkövetők kezében, csupa legális, ártalmatlan szoftvert vetettek be, nyilván nem jó célokra.
 
Az eseménynapló elemzésekor a kutatók egy idővonalat állítottak fel: a legfontosabb és egyben legérdekesebb események néhány percen belül következtek be. A támadók a Hyper-V és az ahhoz tartozó menedzsment lehetőségek révén létrehoztak egy virtuális gépet, amelyet rögtön megpróbáltak elindítani. Az áldozatnak - egy meg nem nevezett szervezetnek - az volt a szerencséje, hogy a támadók éppen egy olyan gépet fogtak ki, amely önmaga is virtualizálva volt, így azon már nem sikerült elindítaniuk a károkozáshoz szükséges VM-et. Amennyiben ez nem így történik, akkor a további tevékenységük már nehezen lett volna kiszűrhető. Ráadásul a nyomaikat is könnyen el tudták volna tüntetni a virtuális gép egyszerű törlésével. (Ezt egyébként ez esetben is megtették, amikor már látták, hogy melléfogtak.)  
A SecureWorks által ismertetett támadás ugyan még korántsem jelent széles körű fenyegetést, de rávilágít arra, hogy a virtualizáció rossz kezekben sok probléma forrásává válhat. Ráadásul úgy, hogy teljesen legális eszközök bevetésével válhat a támadók fegyverévé, és a nyomok egy részének eltüntetése is pillanatok elvégezhető, amivel megnehezíthetők az utólagos vizsgálatok. Az persze kérdés, hogy a jövőben a virtuálizációs technológiák mennyiben fognak a támadók kezére játszani, hiszen azért a legtöbb elkövető nem biztos, hogy a támadás során virtuális gépek létrehozásával, telepítésével, rejtésével akar bíbelődni. Viszont, ahogy a példa is mutatja, semmit sem lehet kizárni.