攻击者利用Windows虚拟化技术绕过EDR检测,部署Linux虚拟机
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现“Curly COMrades”组织利用虚拟化技术绕过安全防护,部署定制恶意软件。该组织自2023年底活跃,攻击目标与俄罗斯利益一致,使用Hyper-V构建隐蔽环境,包含反向代理和远程访问工具,规避传统检测。
🎯
关键要点
- 网络安全研究人员发现'Curly COMrades'组织利用虚拟化技术绕过安全防护,部署定制恶意软件。
- 该组织自2023年底活跃,攻击目标与俄罗斯利益一致。
- 攻击者启用Hyper-V角色,部署基于Alpine Linux的极简虚拟机,内部包含定制反向Shell工具CurlyShell及反向代理CurlCat。
- 攻击工具链包含四大组件:CurlCat、RuRat、Mimikatz和MucorAgent。
- 攻击者通过在已入侵的Windows 10主机上武器化Hyper-V,构建隐藏的远程操作环境。
- 恶意软件及其执行环境隔离在虚拟机内,有效规避传统主机端EDR检测。
- 该组织持续向环境注入新工具,表现出维持反向代理能力的意图。
- CurlyShell为未公开的ELF二进制文件,提供持久化反向Shell。
- CurlyShell与CurlCat采用相同代码基,但数据处理方式不同,确保控制的灵活性与适应性。
❓
延伸问答
Curly COMrades组织的攻击手法是什么?
该组织通过启用Hyper-V角色,在受害系统上部署基于Alpine Linux的极简虚拟机,利用虚拟化技术绕过安全防护。
Curly COMrades组织的攻击目标是什么?
该组织的攻击目标与俄罗斯利益高度吻合,主要针对格鲁吉亚和摩尔多瓦等国家。
CurlyShell和CurlCat有什么区别?
CurlyShell直接执行命令,而CurlCat通过SSH传输流量,二者采用相同代码基但数据处理方式不同。
Curly COMrades组织使用了哪些主要工具?
该组织的攻击工具链包含CurlCat、RuRat、Mimikatz和MucorAgent等四大组件。
攻击者如何规避传统的EDR检测?
攻击者通过将恶意软件及其执行环境隔离在虚拟机内,有效规避多数传统主机端EDR检测。
CurlyShell的功能是什么?
CurlyShell是一个未公开的ELF二进制文件,提供持久化反向Shell,支持远程命令执行。
➡️
