News5 min
Microsoft Defender: Due Zero-Day Attive, Cosa
Due zero-day di Microsoft Defender sono ancora attive dopo il caso Nightmare-Eclipse. Il ricercatore ha pubblicato tre exploit su GitHub: uno è stato patchato, due no.
LeggiTL;DR
- Cosa imparerai: Come gli attacker usano QEMU per nascondere malware in macchine virtuali che girano all'interno del sistema vittima, rendendole invisibili ai tool di sicurezza tradizionali
- Tempo richiesto: 15 minuti per leggere, 1 ora per implementare le contromisure di base
- Difficoltà: Intermedia — servono competenze di sysadmin e understanding delle tecniche di rilevamento
IL PROBLEMA
Stai monitorando i tuoi server. Hai tutto sotto controllo: antimalware aggiornato, EDR installato, log al loro posto. Eppure qualcosa non torna. Il traffico di rete è strano, alcuni file spariscono, il server fa cose che non dovrebbe fare.
Non trovi nulla.
Il malware è lì, che gira, ma il tuo antivirus non lo vede. I processi sembrano normali. I log non mostrano anomalie evidenti. Ti stai chiedendo se stai impazzendo o se qualcuno ha già compromesso tutto.
Bene, probabilmente hai ragione a preoccuparti.
I ricercatori Sophos hanno documentato un aumento significativo di attacchi che sfruttano QEMU, un hypervisor open source, per creare "macchine virtuali nascoste" (hidden VMs) all'interno di sistemi già compromessi. Queste VM girano letteralmente "dentro" il sistema della vittima, usando le risorse hardware ma presentandosi come processi legittimi o venendo completamente oscurate.
Il bello (per gli hacker, non per te) è che queste VM non lasciano tracce nei posti abituali. Nessun servizio strano in esecuzione, nessun file sospetto che salta fuori ai scan periodici. Il malware è lì, ma è protetto da un livello di astrazione che i più comuni tool di sicurezza non sanno come guardare.
Ecco perché stai impazzendo cercando di capire cosa c'è che non va.
PREREQUISITI
Per seguire questa guida e proteggerti:
- Accesso admin ai server che vuoi monitorare
- Possibilità di installare tool di monitoraggio aggiuntivi (non solo l'antivirus di base)
- Accesso ai log di rete e al traffico in uscita
- Conoscenza base di come funziona una VM (non servono superpoteri, ma capire cosa sia un hypervisor aiuta)
Non servono competenze di reverse engineering. Servono attenzione e gli strumenti giusti.
STEP-BY-STEP
Step 1: Capire il nemico — Come funziona un attacco Hidden VM
QEMU è un hypervisor legittimo, open source, che permette di emulare interi sistemi operativi. È quello che sta dietro a tanti emulatori e ambienti di virtualizzazione Linux.
Gli attacker lo usano per lo stesso motivo per cui lo usi tu: funziona bene ed è affidabile.
Il meccanismo è questo:
- L'attacker compromette il sistema (via email malevola, phishing, exploit, quello che preferisci)
- Scarica e installa QEMU sul server compromesso
- Crea una VM "guest" che gira sopra il sistema "host" compromesso
- Dentro quella VM ci mettono tutto: malware, strumenti di furto dati, ransomware
- La VM appare come un processo QEMU normale, che spesso i tool di sicurezza lasciano passare perché è considerato software legittimo
Il risultato? Hai un sistema dentro un sistema. L'antivirus che gira sull'host non vede cosa succede nella VM. I log di sistema mostrano solo il processo QEMU, non quello che ci gira dentro.
È come avere una stanza segreta dentro casa tua. Dalla hallways non la vedi, non sai che esiste.
Step 2: Identificare segnali sospetti nei tuoi sistemi
Ora, come fai a capire se qualcuno sta usando il tuo server come hotel per VM malevole?
Cerca questi indicatori:
Processi QEMU sconosciuti
# Elenca tutti i processi QEMU in esecuzione
ps aux | grep -i qemu
# Mostra solo i nomi dei processi
ps -eo comm | grep -i qemuSe vedi processi QEMU che non hai installato tu, o che non appartengono a VM che gestisci, hai un problema.
Utilizzo anomalo di risorse
# Monitora l'utilizzo CPU
top -b -n 1 | head -20
# Controlla processi che usano molta CPU
ps aux --sort=-%cpu | head -10Una VM che gira in background consuma risorse. Se il server è più lento del solito e non trovi una spiegazione, qualcosa potrebbe star girando senza che tu lo sappia.
Traffico di rete strano
# Mostra connessioni di rete attive
ss -tulpn
# Mostra processi che usano la rete
lsof -i -P -nLe hidden VM comunicano con l'esterno. Se vedi connessioni verso IP strani, porte strane, o traffico che non associ a nessun servizio che conosci, indaga.
Step 3: Implementare il rilevamento
Ecco come costruire un sistema di rilevamento decente:
Controlla le dipendenze
QEMU ha bisogno di alcune librerie per girare. Se qualcuno le ha installate di recente sul tuo server senza motivo, è un segnale:
# Controlla quando è stato installato QEMU
dpkg -l | grep qemu
# oppure
rpm -qa | grep qemu
# Controlla librerie correlate
ldd $(which qemu-system-x86_64) 2>/dev/nullMonitora le modifiche al filesystem
Usa auditd o un tool simile per tracciare modifiche sospette:
# Installa auditd se non c'è
apt install auditd
# Aggiungi regola per monitorare /usr/bin (dove finiscono i binary)
auditctl -w /usr/bin -p wa -k binary_changes
# Controlla i log
ausearch -k binary_changesSegmenta la rete
Isola i server critici. Se un attaccante riesce a mettere su una hidden VM in un server isolato, il danno è contenuto:
# Esempio base con iptables - limita il traffico in uscita
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT # solo HTTPS verso siti noti
iptables -A OUTPUT -j DROP # blocca tutto il restoOvviamente, adatta le regole alle tue esigenze. Non puoi bloccare tutto se il server deve comunicare con l'esterno.
Step 4: Hardening del sistema
Prevenire è meglio che curare. Ecco alcune misure:
Disabilita l'installazione di software non autorizzato
# Su RHEL/CentOS
vim /etc/yum.conf
installonly_limit=2
# Su Debian/Ubuntu
apt-mark hold qemu* libvirt*Usa SELinux/AppArmor
Questi strumenti limitano cosa i processi possono fare. Anche se un attacker riesce a installare QEMU, SELinux può bloccare l'esecuzione della VM:
# Verifica stato SELinux
getenforce
# Se è Disabled, abilitalo
setenforce 1Aggiorna sempre
Sembra banale, ma tantissimi attacchi partono da vulnerabilità note. Mantieni il sistema aggiornato:
# RHEL/CentOS
yum update -y
# Debian/Ubuntu
apt update && apt upgrade -yStep 5: Piano di risposta agli incidenti
Se trovi una hidden VM sul tuo sistema:
- Isola immediatamente — Disconnetti il server dalla rete
- Acquisisci prove — Fai un dump della memoria prima di spegnere tutto
- Analizza — Guarda cosa c'era nella VM, come è entrata, cosa ha fatto
- Ricostruisci — Reinstalla da zero, non "pulire" il sistema esistente
- Cambia credenziali — Password, token, chiavi API — tutto quello che potrebbe essere stato compromesso
VERIFICA
Come capisci se il tuo hardening funziona?
Testa il rilevamento
Prova a installare QEMU su un sistema di test e vedi se i tuoi strumenti lo rilevano:
# Installa QEMU su un sistema di test
apt install qemu-kvm
# Verifica che il processo appaia nei tuoi scan
ps aux | grep qemuSimula un attacco
Se hai un ambiente di test, crea una VM al suo interno e vedi se i tuoi strumenti la rilevano. Non puoi simulare esattamente quello che fa un attacker, ma puoi capire se stai guardando nei posti giusti.
Monitora i log
Controlla regolarmente:
# Log di sistema
journalctl -xe | tail -50
# Log autentificazioni
tail -f /var/log/auth.log
# Log audit
ausearch -ts recentSe vedi qualcosa di nuovo, qualcosa che non hai visto prima, investi. È meglio perdere 10 minuti a controllare che 10 ore a rimediare un data breach.
TROUBLESHOOTING
D: Il mio antivirus non rileva QEMU. È normale?
Sì, purtroppo. QEMU è software legittimo e spesso viene inserito nella whitelist. Devi complementare l'antivirus con monitoraggio manuale e tool specifici.
D: Come faccio a distinguere una VM legittima da una malevola?
Controlla chi l'ha avviata, quando, e se corrisponde a una VM che gestisci. Se non sai chi ha lanciato qemu-system-x86_64, hai un problema.
D: I log sono stati cancellati. Cosa faccio?
Questo è un segnale fortissimo. Se qualcuno ha pulito i log, c'è qualcosa da nascondere. Cerca backup dei log, snapshot di sistema, qualsiasi traccia di cosa è successo.
D: Posso bloccare QEMU a livello di sistema?
Puoi disinstallarlo, bloccare l'installazione con policy, usare AppArmor. Ma se un attaccante ha già privilegi di root, può aggirare questi blocchi. La difesa deve essere a strati.
D: Il mio server è già compromesso?
Se hai dubbi, assumi di sì. Isola il server, cambia credenziali da un'altra macchina, fai un'analisi forense. Non cercare di "pulire" — reinstalla.
CONCLUSIONE
Le hidden VM sono un problema serio e in crescita. Gli attacker usano strumenti legittimi come QEMU per creare livelli di astrazione che i tool di sicurezza tradizionali non sanno come gestire.
Non puoi risolvere il problema con un solo tool. Serve un approccio a strati: monitoraggio attivo, hardening dei sistemi, segmentazione della rete, e soprattutto — attenzione.
Se ricevi email sospette che ti chiedono di cliccare qualcosa o scaricare allegati strani, fermati. Molti di questi attacchi partono da lì. Un buon filtro antispam come MailSniper può bloccare la maggior parte delle email malevole prima che arrivino alla tua inbox, riducendo drasticamente le probabilità che qualcuno clicchi su qualcosa di pericoloso.
Tieni d'occhio i tuoi server. Controlla i processi. Guarda i log. Se qualcosa non torna, indaga. È meglio trovare un falso positivo che perdere un attacco in corso.
E se hai bisogno di aiuto per implementare queste misure, sai dove cercare.