Компания SecureWorks сообщает о новой тактике киберпреступников, которые пытаются устанавливать на компьютеры пользователей виртуальные машины для того, чтобы скрыть свои действия на них. Виртуальные машины представляют собой эмуляцию файловых систем, на которых работают полноценные операционные системы внутри установленной на компьютере операционной системы. Это позволяет при необходимости запустить Linux или Windows 98 одним нажатием на ярлык на рабочем столе.
Виртуальные машины часто используют разработчики программного обеспечения для тестирования своих продуктов и они бывают встроенными в приложения, например, программы компьютерной безопасности. SecureWorks пишет о недавнем инциденте у одного из клиентов компании. Изучив логи, специалисты обнаружили, что хакер получил возможность взаимодействовать с проводником Windows через Terminal Services Client.
Использовалась Microsoft Management Console (MMC) для запуска Hyper-V Manager, применяемого для управления виртуальными машинами. Злоумышленник пытался запустить виртуальную машину, но не смог этого сделать, поскольку изначально оказался в виртуальной машине. Однако этот метод может оказаться более успешным в другой раз у других хакеров, что следует иметь в виду.
Работа в виртуальной машине позволит выполнять противозаконные действия незаметно, за пределом поле зрения антивирусных продуктов и прочих приложений безопасности.