QEMUのVMは攻撃に使われるのですか？

A. 攻撃の準備場所として使われる例があります。

確認されている活動では、脆弱性を悪用したアクセスのあと、ZIPファイルが送り込まれ、長く使うための遠隔操作用ソフトウェアが動かされます。

そのうえで、攻撃のための仕組みがQEMUのVM内に用意されます。ホスト側のセキュリティ製品はVMの内部を見られないため、VM内での実行や保存、SSH経由の遠隔アクセス用トンネルの作成が表から見えにくくなります。

VMの中には、ImpacketやKrbRelayx、BloodHound.py、Metasploitなどを含む攻撃用の一式が準備されます。準備後は、認証情報の収集やKerberosユーザ名の列挙、Active Directoryの偵察が行われます。あわせて、FTPサーバを使った持ち出しに向けたデータの準備も進められます。

QEMUは現在、LinuxだけでなくWindowsやmacOS、BSD系OSでも使えます。

入れた覚えのないソフトウェアや、いつの間にか動いているVMがないかは見ておいたほうがよさそうです。

👉 詳細のブログはこちら