SecureWorks сообщает о новой тактике хакеров, которые пытаются установить и запустить виртуальные машины на заражённые ПК пользователей с целью сокрытия своих вредоносных действий.

Для непрофессионалов, виртуальные машины эмулируют файловые системы компьютера, в большинстве случаев в комплекте с полностью работающей операционной системы, которая работает внутри существующей операционной системы. С точки зрения непрофессионал, а они являются некой новой ОС внутри операционной системы компьютера, что позволяет пользователям запускать Linux или Windows 98, просто щелкнув значок на рабочем столе.

Виртуальные машины, как правило, используются разработчиками программного обеспечения для тестирования продуктов и часто встроены в другие приложения, такие как программное обеспечение для безопасности системы.

SecureWorks сообщает о недавнем инциденте, который произошёл с одним из их клиентов. Изучая логи, эксперты компании обнаружили, что хакеры получили возможность взаимодействовать с проводником Windows через Terminal Services Client.

На рисунке показаны как злоумышленники использовали Microsoft Management Console (MMC) для запуска Hyper-V Manager, применяемого для управления виртуальными машинами. таким образом, хакеры попытались запустить виртуальную машину на зараженном хосте. К счастью для взломанной компании, им не удалось этого сделать потому что они изначально находились в виртуальной машине, а виртуальные машины не могут быть вложены друг в друга.

На этот раз злоумышленники потерпели неудачу, но эта тактика может иметь успех в другой раз и у других хакеров, о чём не следует забывать.

Подобный план достаточно хорош, поскольку после установки и запуска виртуальной машины, злоумышленники смогли бы подключиться к виртуальной машине и выполнить вредоносные действия незаметно, в обход различных антивирусных продуктов.