SecureWorks公司公布了一種入侵方式——攻擊者在目標(biāo)電腦上嘗試安裝并運(yùn)行虛擬機(jī)，達(dá)到掩蓋惡意操作的目的。

　　入侵并安裝虛擬機(jī)

虛擬機(jī)在不同的人手中有不同的作用，最近又有黑客盯上了虛擬機(jī)。

對(duì)于非專業(yè)用戶來說，虛擬機(jī)是一個(gè)模擬的文件系統(tǒng)，也就是說在現(xiàn)有的操作系統(tǒng)中再安裝一個(gè)操作系統(tǒng)，而用戶只需通過點(diǎn)擊桌面上的圖標(biāo)來啟動(dòng)Linux或Windows98。對(duì)于軟件開發(fā)員來說，虛擬機(jī)通常用來測試產(chǎn)品或是嵌入到其它應(yīng)用中，例如某些安全軟件。

最近SecureWorks接收到一個(gè)緊急通知，他們的一個(gè)客戶公司稱7月28日在其安全平臺(tái)上檢測到一些異常的情況。從該公司的系統(tǒng)管理員那里請(qǐng)求到了更多的日志后，SecureWorks的研究人員發(fā)現(xiàn)了使他們的產(chǎn)品觸發(fā)警報(bào)的日志報(bào)告。

SecureWorks公司反威脅團(tuán)隊(duì)（CTU）研究人員指出：

“對(duì)方得到了訪問權(quán)限，使他能夠通過終端服務(wù)客戶端的Windows資源管理器外殼進(jìn)行交互。”

　　圖一

上圖展示了使用Microsoft管理控制臺(tái)（MMC）創(chuàng)建了Hyper-V管理器（用于管理微軟虛擬機(jī)（VM）的基礎(chǔ)設(shè)施）

躲過安全產(chǎn)品的檢查

攻擊試圖在感染的主機(jī)上啟動(dòng)虛擬機(jī)。所幸，他們獲得訪問權(quán)限的機(jī)器是單獨(dú)的一臺(tái)虛擬機(jī)本身而它無法跟其他虛擬機(jī)相互嵌套。

雖然攻擊者在他的嘗試中失敗了，但是這說明一個(gè)新的威脅出現(xiàn)了，攻擊者能夠利用虛擬機(jī)來掩蓋他們的惡意操作。攻擊者在建立和啟動(dòng)虛擬機(jī)之后，他們就已經(jīng)能夠連接到虛擬機(jī)，并執(zhí)行惡意操作，如穿插敏感數(shù)據(jù)，這些都是安全產(chǎn)品無法觸及的地方。