Napadaci koriste QEMU emulator za izbegavanje bezbednosnih sistema
Istraživači otkrili da napadači zloupotrebljavaju QEMU emulator za distribuciju ransomware-a i remote access trojanca.
Šta se desilo?
Istraživači su otkrili da hakeri zloupotrebljavaju QEMU - open-source emulator mašina - kao metodu za zaobilaženje bezbednosnih alata i detekcije. Prema dostupnim informacijama, ovaj pristup je korišćen u najmanje dva različita napada namenjenih distribuciji ransomware-a i remote access trojanca.
Koga pogađa?
Rizik od ovog napada pogađa prvenstveno poslovne korisnike i organizacije koje koriste Windows sisteme. Napadači koriste emulator kao intermedijera što otežava detektovanje malicioznog koda od strane tradicionalnih bezbednosnih rešenja i antivirusnih programa.
Kako se zaštititi?
- Redovno ažurirajte sve operativne sisteme i bezbednosni softver na najnoviju verziju
- Nadzire pokrenute procese i svaku sumnjiva ili nepoznatu aplikaciju
- Koristite napredne bezbednosne alate koji mogu detektovati emulatoru okruženja i neuobičajene tehnike izvršavanja
- Primenjujte princip najmanje privilegije za korisničke naloge
- Vodite evidenciju o autorizovanoj softverskoj infrastrukturi u svojoj organizaciji
Tehnički detalji
QEMU je otvoreno dostupan emulator koji omogućava pokretanje virtuelnih mašina i često se koristi u legitimne svrhe testiranja i razvoja. Međutim, napadači ga zloupotrebljavaju jer veliki deo bezbednosnih mehanizama ne detektuje maliciozni kod izvršavan unutar emuliranog okruženja, što čini klasičan vektor zaobilaženja zaštite.
Preporuka Sajber Radara
Organizacije trebaju da jačaju detekcione mogućnosti sa fokusom na prepoznavanje neuobičajenih tehnika izvršavanja i emulatorskog okruženja. Redovna obuka zaposlenih o identifikaciji sumnjive softverske infrastrukture ključna je komponenta zaštite od ovakvih napada.