Názory k článku Skryté virtuální stroje: útočníci zneužívají QEMU k šíření malwaru
-
Proč tohle funguje? Resp. proč neskenujou antiviry i ty virtuální disky pro qemu, nebo co normálně sledujou?
Při běžné kontrole antiviry kontrolují jen spustitelné soubory. Kontrola všech se dá ručně zapnout / provést, ale trvá příliš dlouho. Navíc disk image ve virtuálu může být šifrovaný, nejspíš pro ukrytí před antivirem ani nebude záležet jak moc bezpečně šifrovaný.
Kontrola síťového provozu by mohla mít větší šanci na úspěch. Ale taky jen do té míry že něco komunikuje a dotaz na uživatele jestli to fakt chce povolit.
-
tam je více úrovní celé této problematiky.
* pokud je to neznámý malware, běžně to antivir nenajde, protože jej zatím ani nezná ...
* běžící proces s qemu je regulerní proces, není důvod dělat závěry že se jedná o nějaký útok
* k vyhodnocení signálů že něco "smrdí", třeba kombinaci více procesů, apod. je už úkol pro EDR/XDR, běžný antivir jen hledá známé signatury (+základní heuristika) a neumí z toho vydedukovat že je něco jinak/špatně; protože kontroluje soubory a procesy ale úplně běžně obyčejný antivir nedělá vyhodnocování souvislostí, zejména pokud se to má taktéž týkat i síťové konektivity, aktivit uživatele, apod.
* běžný antivir neprovádí sken virtuálních disků na úrovni použitého souborového systému uvnitř virtuálního disku. větší smysl dává u VHDX (nativní formát Windows), ale ani tam to není plnohodnotný scan obsahu VM
* běžný antivir a klidně také edr/xdr pro windows neskenuje linuxový souborový systém kde je navíc komplikací chybějící přípony, což vyžaduje skenování inicializačních souborů linuxu a pak volané procesy ... což ale je scénář který běžně někdo neočekává na stroji s windows.defacto antivir i edr/xdr skenuje pouze hostitelský operační systém. do paměti kde běží nějaká virtualizační platforma nemá běžně přístup, protože ta je oddělená.
a podobně se neskenuje ani virtuální disk. standardní scénář užití je takový, že každý systém má nasazen svého agenta a toho skenuje. tedy že pokud virtualizuji tak pokud chci zajistit bezpečnost nasadím i do těch vm antivir.
-
Celkem bezny antivir celkem bezene mimo jine vyhodnocuje, jestli se v systemu neobjevila nejaka nova aplikace (a informuje o tom spravce), pripadne jestli nejaka aplikace nevyzira ram/cpu/disk.
Jinak kokretni napreportovany virus najde tak po 2-4 tydnech od reportu. Coz typicky znema ze tou dobou uz davno existuje upravena varianta kterou to nenajde.
A treba oblibene sifrovani souboru se da delat uplne libovolnych scriptem, coz zadny antivir nevyhodnoti jako problem. Teda pokud to neprepisuje stovky tisic souboru, to uz nekdy zachyti.
-
čtu to špatně, nebo se tak nějak považuje za normální, že si kdokoli odkudkoli ze světa může "nakráčet"na něčí systémy, a tam si jen tak na nějakým náhodným stroji co v síti najde prostě nainstaluje QEMU a v něm virtuálku a spustí si libovolnej bordel?
nebo mi něco uniká?
nevím, školy nemám, ale řekl bych že v momentě, kdy někdo tohle může v mojí síti udělat a nikomu nic nepřijde divný, tak mám úplně jinej problém, než že v nějaký virtuálce běží malware. -
Tak ten příklad s QEMU je sandbox z pohledu toho fyzického PC. Takže OS v tom PC to netrápí. Problém je to až venku, na síti. Ale na útok na síti můžeš použít třeba svůj mobil nebo nějaké ty hackovací krabičky. Tohle musí IT oddělení řešit např. na firewallu.
27. 4. 2026, 22:54 editováno autorem komentáře
