Emulador QEMU explorado como ferramenta de tunelamento para violar a rede da empresa
![cyber](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhu0k6vbpiBt-n43SxfwrC24zjk1V1-aRo9iPPjDwIHRZf2hQ-ZHslErrNGfvecXHWyfX-ZWCFwuGz8jMJjjIxApPmRuvqY1L1h6X-XMQBVVRIqQukUJUacd0b9TaZokjVIMGiMsNgY1irMCMYfN8PFh3DFgfAaT9YEcBdmF5vzgICL9UMxCPXSKfWqBec7/s728-rw-e365/cyber.jpg?w=780&resize=780,470&ssl=1)
![Emulador QEMU como ferramenta de tunelamento Emulador QEMU como ferramenta de tunelamento](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhu0k6vbpiBt-n43SxfwrC24zjk1V1-aRo9iPPjDwIHRZf2hQ-ZHslErrNGfvecXHWyfX-ZWCFwuGz8jMJjjIxApPmRuvqY1L1h6X-XMQBVVRIqQukUJUacd0b9TaZokjVIMGiMsNgY1irMCMYfN8PFh3DFgfAaT9YEcBdmF5vzgICL9UMxCPXSKfWqBec7/s728-rw-e365/cyber.jpg)
Foram observados atores de ameaças aproveitando o emulador de hardware de código ingénuo QEMU porquê software de tunelamento durante um ataque cibernético direcionado a uma “grande empresa” não identificada para se conectar à sua infraestrutura.
Embora uma série de ferramentas legítimas de tunelamento, porquê Chisel, FRP, ligolo, ngrok e Plink, tenham sido usadas pelos adversários em seu mercê, o desenvolvimento marca o primeiro QEMU usado para esse término.
“Descobrimos que o QEMU suporta conexões entre máquinas virtuais: a opção -netdev cria dispositivos de rede (backend) que podem portanto se conectar às máquinas virtuais”, disseram os pesquisadores da Kaspersky Grigory Sablin, Alexander Rodchenko e Kirill Magaskin.
“Cada um dos numerosos dispositivos de rede é definido pelo seu tipo e suporta opções extras.”
Em outras palavras, a teoria é produzir uma interface de rede virtual e uma interface de rede tipo soquete, permitindo mal a máquina virtual se comunique com qualquer servidor remoto.
A empresa russa de segurança cibernética disse que foi capaz de usar o QEMU para configurar um túnel de rede de um host interno dentro da rede corporativa que não tinha chegada à Internet para um host pivô com chegada à Internet, que se conecta ao servidor do invasor na nuvem executando o emulador.
![Emulador QEMU como ferramenta de tunelamento Emulador QEMU como ferramenta de tunelamento](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgrjvCG7UWuNv2l-qXqYOvfkIRipoQYu58sho7K21F39Drvc4rWxTCO26urTYdcioRBpS2b8lheWT0u-8h469FtTBH6VvPx6AYozdBHKM7Dv5nwRMO1EFK6AVenimQ8EFHIHZBeYMFuzZu2A-Tc5JRaEUIBa1f-I0kjP3eCB1CmEJ54HTWeq80e2LtSOisA/s728-rw-e365/kali.jpg)
As descobertas mostram que os agentes de ameaças estão continuamente diversificando as suas estratégias de ataque para combinar o tráfico malicioso com a atividade real e atingir os seus objetivos operacionais.
“Atores maliciosos que usam ferramentas legítimas para executar várias etapas de ataque não são novidade para os profissionais de resposta a incidentes”, disseram os pesquisadores.
“Isso apoia ainda mais o concepção de proteção multinível, que abrange tanto a proteção confiável de endpoints quanto soluções especializadas para detectar e proteger contra ataques complexos e direcionados, incluindo os operados por humanos”.