Los piratas informáticos utilizan máquinas virtuales para esconder malware

Share this…

Día tras día se lleva una lucha entre los piratas informáticos, quienes buscan nuevas formas de ocultar su actividad y comprometer la seguridad y privacidad de las víctimas y las diferentes empresas de seguridad del sector, quienes buscan contrarrestar de la manera más eficiente posible estos ataques. Por ello, cada poco tiempo es fácil ver cómo los piratas informáticos vuelven a utilizar nuevas técnicas de ataque y nuevas maneras de ocultarse, por ejemplo, como se ha descubierto recientemente, a través de máquinas virtuales.

Las máquinas virtuales son un tipo de software que nos permiten emular un sistema operativo completo ejecutándose por encima de nuestro sistema operativo principal, o host. De esta manera, muchos usuarios pueden utilizar Windows 10 como sistema operativo principal y, por encima de él, ejecutar un Windows XP o un sistema Linux totalmente funcional.

Recientemente, la empresa de seguridad SecureWorks ha detectado una nueva táctica utilizada por los piratas informáticos que, tras comprometer el equipo, instalan una máquina virtual en este con el fin de ocultar sus acciones maliciosas. Esta nueva técnica de ataque fue detectada por primera vez a finales de julio debido a que varios de los clientes de esta empresa estaban detectando un comportamiento anómalo en sus sistemas.

Los piratas informáticos habían conseguido configurar una máquina virtual directamente en el hipervisor Hyper-V de Windows. A partir de esa máquina virtual, los atacantes habían conseguido establecer una conexión directa por terminal con el sistema a través de la cual tenían acceso completo sobre el sistema.

Maquinas-virtuales

El malware ejecutado sobre máquinas virtuales es indetectable

Esta técnica es muy inteligente, ya que una vez creada y ejecutada la máquina virtual el atacante la utiliza para conectarse de forma remota a la máquina host y, explotando diferentes fallos de Windows, conseguir permisos de administración sobre ella para poder acceder a todos los datos almacenados en ella. Además, mediante esta técnica, los atacantes son capaces de evadir por completo los sistemas antivirus y de seguridad que estén instalados en el sistema.

Por lo general, para no depender de otras aplicaciones adicionales que llamaran más la atención, los atacantes aprovechan la virtualización de Hyper-V para la creación de estas máquinas virtuales, por lo que una forma muy simple de protegernos de este vector de ataque es simplemente desactivando las funciones de virtualización de Hyper-V desde el administrador de componentes de Windows. De todas formas, no sería de extrañar que con el auge que está teniendo la virtualización por contenedores veamos en un futuro cercano cómo los piratas informáticos empiezan a hacer uso de este nuevo concepto para comprometer sistemas como fase evolucionada de estos ataques Hyper-V.

Fuente:https://www.redeszone.net/