Kumpulan peretasan yang berkaitan dengan Rusia, Curly Comrades, adalah senjata Hyper-V Microsoft untuk menyembunyikan malware pada sistem Windows yang dikompromi, menandakan evolusi yang signifikan dalam teknik stealth.
href=”https://businessInsights.bitdefender.com/curly-comrades-evasion-sersistence-hidden-hyper-v-virtual-machines”sasaran=”_ kosong”> Laporan dari firma cybersecurity bitdefender Membenarkan penyerang untuk memintas perisian pengesanan dan tindak balas endpoint (EDR).
Daripada menggunakan alat luaran yang mungkin mencetuskan makluman keselamatan, penyerang memanfaatkan komponen sistem yang sah yang ada pada mesin sasaran. Ini adalah pendekatan klasik”hidup”.
Analisis forensik mendedahkan proses penempatan pelbagai peringkat. Penyerang mula-mula melaksanakan arahan DISM untuk membolehkan peranan Hyper-V. PowerShell cmdlets seperti Import-VM dan Start-VM kemudian melancarkannya. Untuk terus mengelakkan kecurigaan, VM dinamakan”WSL,”meniru subsistem Windows yang sah untuk Linux. di teras strategi ini adalah mesin maya minimalis berdasarkan alpine linux Pilihannya disengajakan; Persekitaran tersembunyi mempunyai jejak ringan hanya ruang cakera 120MB dan 256MB memori, meminimumkan kesannya terhadap sistem tuan rumah.
Di dalam persekitaran terpencil ini, kumpulan itu mengendalikan suite malware tersuai.”Penyerang membolehkan peranan hyper-V pada sistem mangsa yang dipilih untuk menggunakan mesin maya berasaskan linux yang minimalis. CurlCat dikonfigurasikan sebagai proksikommandu dalam klien SSH, membungkus semua trafik SSH keluar ke permintaan HTTP standard untuk menggabungkan. Kedua-dua implan menggunakan abjad Base64 yang tidak standard untuk pengekodan untuk mengelakkan pengesanan.
Sebagai nota Bitdefender,”Sebenarnya, semua komunikasi keluar yang berniat jahat kelihatan berasal dari alamat IP mesin tuan rumah yang sah.”Taktik pengelakan sedemikian menjadi semakin biasa. Penjelasan, menunjukkan pendekatan berlapis untuk mengekalkan akses.
Satu skrip, yang dikerahkan melalui dasar kumpulan, direka untuk membuat akaun pengguna tempatan pada mesin domain yang dilalui. Berulang kali, skrip itu menetapkan semula kata laluan akaun, mekanisme pintar untuk memastikan penyerang mengekalkan akses walaupun seorang pentadbir menemui dan mengubah kelayakan.
href=”https://en.wikipedia.org/wiki/local_security_authority_subsystem_service”sasaran=”_ kosong”> Perkhidmatan Subsistem Pihak Berkuasa Tempatan (LSASS) Jalankan arahan, exfiltrate data, atau gunakan malware tambahan di seluruh alam sekitar. Pendekatan pelbagai aspek menyoroti kematangan operasi kumpulan, satu ciri pelaku ancaman yang ditaja oleh negara.
