Vlákno názorů k článku Skryté virtuální stroje: útočníci zneužívají QEMU k šíření malwaru od B.H.L. - Proč tohle funguje? Resp. proč neskenujou antiviry i...

Proč tohle funguje? Resp. proč neskenujou antiviry i ty virtuální disky pro qemu, nebo co normálně sledujou?

A pokud skener síťovýho provozu uvidí ssh kanál někam do pryč, tak to ho nepingne, protože to vypadá legitimně?

Proč tohle funguje? Resp. proč neskenujou antiviry i ty virtuální disky pro qemu, nebo co normálně sledujou?

Při běžné kontrole antiviry kontrolují jen spustitelné soubory. Kontrola všech se dá ručně zapnout / provést, ale trvá příliš dlouho. Navíc disk image ve virtuálu může být šifrovaný, nejspíš pro ukrytí před antivirem ani nebude záležet jak moc bezpečně šifrovaný.

Kontrola síťového provozu by mohla mít větší šanci na úspěch. Ale taky jen do té míry že něco komunikuje a dotaz na uživatele jestli to fakt chce povolit.

"Při běžné kontrole antiviry kontrolují jen spustitelné soubory. "
Aha, díky za vysvětlení.

tam je více úrovní celé této problematiky.
* pokud je to neznámý malware, běžně to antivir nenajde, protože jej zatím ani nezná ...
* běžící proces s qemu je regulerní proces, není důvod dělat závěry že se jedná o nějaký útok
* k vyhodnocení signálů že něco "smrdí", třeba kombinaci více procesů, apod. je už úkol pro EDR/XDR, běžný antivir jen hledá známé signatury (+základní heuristika) a neumí z toho vydedukovat že je něco jinak/špatně; protože kontroluje soubory a procesy ale úplně běžně obyčejný antivir nedělá vyhodnocování souvislostí, zejména pokud se to má taktéž týkat i síťové konektivity, aktivit uživatele, apod.
* běžný antivir neprovádí sken virtuálních disků na úrovni použitého souborového systému uvnitř virtuálního disku. větší smysl dává u VHDX (nativní formát Windows), ale ani tam to není plnohodnotný scan obsahu VM
* běžný antivir a klidně také edr/xdr pro windows neskenuje linuxový souborový systém kde je navíc komplikací chybějící přípony, což vyžaduje skenování inicializačních souborů linuxu a pak volané procesy ... což ale je scénář který běžně někdo neočekává na stroji s windows.

defacto antivir i edr/xdr skenuje pouze hostitelský operační systém. do paměti kde běží nějaká virtualizační platforma nemá běžně přístup, protože ta je oddělená.

a podobně se neskenuje ani virtuální disk. standardní scénář užití je takový, že každý systém má nasazen svého agenta a toho skenuje. tedy že pokud virtualizuji tak pokud chci zajistit bezpečnost nasadím i do těch vm antivir.

Celkem bezny antivir celkem bezene mimo jine vyhodnocuje, jestli se v systemu neobjevila nejaka nova aplikace (a informuje o tom spravce), pripadne jestli nejaka aplikace nevyzira ram/cpu/disk.

Jinak kokretni napreportovany virus najde tak po 2-4 tydnech od reportu. Coz typicky znema ze tou dobou uz davno existuje upravena varianta kterou to nenajde.

A treba oblibene sifrovani souboru se da delat uplne libovolnych scriptem, coz zadny antivir nevyhodnoti jako problem. Teda pokud to neprepisuje stovky tisic souboru, to uz nekdy zachyti.