VM-basierte Evasion: So erkennen Sie Angriffe trotz XDR Blind Spots

In der globalen Threat-Intel-Community, wie auch unser Incident Responder Team bei InfoGuard, registrieren in den vergangenen Monaten einen beunruhigenden Trend: Angreifer nutzen zunehmend Virtualisierungstechnologien, um ihre Aktivitäten vor Sicherheitslösungen zu verbergen. Das Motto lautet nicht mehr nur «Living off the Land», sondern «Bring Your Own Land».

XDR als blinder Fleck: Wie eine VM als Tarnkappe wirkt

Moderne XDR- und Antiviren-Lösungen sind tief im Betriebssystem verankert (Kernel Callbacks). Sie sehen im Prinzip alles, was das Host-Betriebssystem sieht. Doch genau hier liegt die Krux: Startet ein Angreifer eine virtuelle Maschine (VM) auf dem Host, erkennt das XDR oft nur einen einzigen Prozess: den Hypervisor (z. B. «qemu.exe» oder «VBoxHeadless.exe»). Was innerhalb dieser VM passiert – welche Malware ausgeführt wird und welche C2-Verbindungen aufgebaut werden – bleibt für das XDR auf dem Host meist eine «Black Box».

Der Angreifer schafft sich eine isolierte Umgebung, in der er ungestört schalten und walten kann. Den Host nutzt er nur als Durchgangsstation für Netzwerkverkehr und greift mittels «Shared Folders» auf dessen Dateisystem zu.

Hinzu kommt: Features wie das Windows Subsystem for Linux (WSL) sind mittlerweile auf vielen Geräten standardmässig verfügbar. Für Hacker wirkt das wie ein offenes Scheunentor: Ein komplettes Linux-Arsenal, vorinstalliert und sofort verfügbar, doch oft ausserhalb der Sichttiefe des XDR.

Ransomware und APTs: So bleiben VM-basierte Angriffe unerkannt

VM-Tarnangriffe sind längst nicht mehr nur Theorie. Verschiedene Bedrohungsakteure nutzen virtualisierungsbasierte Techniken, sogenannte Geistermaschinen, bereits aktiv «in the Wild».

Ragnar Locker & die Windows XP VM

Einer der prominentesten Fälle war die Ransomware-Gruppe Ragnar Locker. Um der Entdeckung zu entgehen, luden die Angreifer einen kompletten Oracle VirtualBox Installer und ein winziges, vorkonfiguriertes Windows XP Image auf die Opfersysteme.

Der Clou: Die Ransomware lief in der virtuellen Maschine. Über «Shared Folders» wurde die lokale Festplatte des Hosts als Netzlaufwerk in die VM gemountet. Die Verschlüsselung fand folglich von der VM aus statt.

Für das XDR auf dem Host wirkten die Vorgänge lediglich wie gewöhnliche, unverdächtige Schreibzugriffe des VirtualBox-Prozesses.

QEMU Tunneling

Fortgeschrittene Angreifergruppen (wie z. B. APT28 oder kriminelle Akteure um Maze) nutzen QEMU, einen Open-Source-Emulator.

Da QEMU keine Installation benötigt (es existiert ein Portable Binary), kann es einfach auf ein kompromittiertes System kopiert werden. Die Angreifer starten darauf ein minimales Linux-Image, um C2-Tunnel aufzubauen oder Tools für Lateral Movement auszuführen.

Für ein Security Operations Center (SOC) präsentiert sich das Geschehen oft so, als würde eine reguläre, unverdächtige Anwendung laufen.

WSL – Der Wolf im Schafspelz

Besonders perfide ist die Nutzung von WSL2. Da WSL2 eng mit dem Windows-Kernel verzahnt ist, wird es oft als vertrauenswürdig eingestuft.

Angreifer verwenden «bash.exe» oder «wsl.exe», um Linux-Payloads (ELF-Binaries) auf einem Windows-Host auszuführen.

Da viele klassische AV-Scanner primär nach Windows-Malware (PE-Dateien) suchen, werden Linux-Tools (wie Python-Scripte oder Linux-Backdoors) schlicht übersehen oder ignoriert.

4 Threat-Hunting-Ansätze: Die Geistermaschinen-Jagd beginnt

So raffiniert VM-basierte Angriffe auch agieren, ganz undetektierbar sind sie nicht. Eine virtuelle Maschine beansprucht stets Ressourcen wie CPU, RAM, Disk-I/O und Netzwerk. Aus diesen Spuren ergeben sich klare Ansatzpunkte für Threat Hunter.

Nachfolgend die vier zentralsten Threat-Hunting-Ansätze für Ihre Jagd auf Geistermaschinen:

1. Prozess-Überwachung

Suche nach bekannten Virtualisierungs-Prozessen, die aus ungewöhnlichen Verzeichnissen oder atypischen Usern gestartet werden.

• QEMU «qemu-system-x86_64.exe» gestartet aus C:\Users\Public\Temp\ oder C:\Users\<User>\AppData\.
• VirtualBox «VBoxHeadless.exe» ohne das dazugehörige GUI-Frontend.
• Hyper-V: «vmwp.exe», die unerwartet auf dem System aktiv ist.
• WSL: «wsl.exe oder bash.exe», die Verbindungen zu externen IPs herstellen, aus PowerShell heraus ausgeführt werden oder ihrerseits PowerShell-Prozesse starten.

Abbildung1: Das Velociraptor-Artefakt «Windows.Detection.HyperV» listet laufende «vmwp.exe»-Prozesse und erleichtert so die Identifikation verdächtiger VMs.

2. File-System-Artefakte

Virtuelle Maschinen benötigen Festplatten-Images. Diese Dateien sind in der Regel gross und besitzen spezifische Endungen. Ein Hunting-Scan nach solchen Dateien in Benutzerprofilen kann Gold wert sein:

• Dateitypen wie .vmdk, .vdi, .qcow2 (QEMU/KVM), .vhdx oder .vhd.
• Grosse Dateien (>500MB) in temporären Ordnern mit zufälligen Namen.

Abbildung 2: Das Artefakt «WSLFileFinder» erlaubt einen Blick in den WSL-Container.

3. Netzwerk-Anomalien

Der Netzwerkverkehr aus der VM muss durch den Host. Oft nutzen die Angreifer hierfür NAT (Network Address Translation).

• Hunting nach Prozessen wie Hypervisor-Prozessen, welche Ports öffnen oder ungewöhnlichen Traffic, wie SSH Traffic über Port 443, generieren.
• Baut ein einzelner Prozess wie «qemu-system-x86_64.exe» Verbindungen zu hunderten internen IPs auf (Scanning), ist dies ebenfalls ein zu prüfender Indikator.
  

4. Eventlogs-Check

Bei WSL und Hyper-V schreibt Windows fleissig Logs.

• Suche nach Events, die eine Aktivierung von Features anzeigen (z. B. dism /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux).
• Kurzzeitige Service-Installationen von VirtualBox oder Vmware-Treibern.

Human-AI-Teaming: Der Mensch prüft, was das grüne Häkchen verspricht

Die Nutzung von Virtualisierung zur Umgehung von Sicherheitskontrollen ist ein Trend, der vermutlich noch an Bedeutung gewinnen dürfte. Sie verschafft Angreifern eine nahezu unsichtbare, vollständig kontrollierte Umgebung direkt im Opfernetzwerk.

Für die Cyberabwehr bedeutet das: Wir dürfen uns nicht blind auf das «grüne Häkchen» unseres XDRs verlassen. Wir müssen verstehen, was auf unseren Endpoints möglich ist. Ist WSL aktiviert? Darf jeder User Hyper-V nutzen?

Auf Basis dieser Erkenntnisse müssen wir unsere Detection-Regeln anpassen. Wer ausschliesslich nach Malware sucht, findet vielleicht nichts. Wer hingegen Verhaltensanomalien in Virtualisierungs-Software jagt, verbucht mit etwas Glück und Expertise den entscheidenden Treffer!

Als Leitplanke für die Weiterentwicklung Ihrer Sicherheitsmassnahmen hier die drei zentralen Takeaways:

• XDR Blind Spots: Malware innerhalb einer VM wird oft nicht vom Host-AV erkannt.
• LOLBins: WSL und Hyper-V sind mächtige Tools, die gegen uns verwendet werden können.
• Detection: Fokus auf Prozesse, grosse Image-Dateien, Netzwerkverhalten der Hypervisor-Prozesse und Artefakten wie das Aktivieren von Features im EventLog.

Wer verborgene Maschinen jagt, braucht klare Spuren. Wir liefern sie.

Virtuelle Maschinen als Tarnkappe stellen XDR-Lösungen zunehmend vor drastische Herausforderungen. Damit solche versteckten Strukturen gar nicht erst zum blinden Fleck werden, unterstützen wir unsere Managed-Security-Kunden mit regelmässigen Threat-Hunting-Analysen, die genau diese Verhaltensmuster aufdecken.

Organisationen ohne diese Managed-Security-Unterstützung bietet ein Compromise Assessment von InfoGuard einen ebenso gründlichen Blick unter die Oberfläche.

Unsere Expertinnen und Experten untersuchen Ihre Infrastruktur nach Indicators of Compromise, ungewöhnlichem Verhalten und Hinweisen auf fortgeschrittene Bedrohungen. Dabei fliessen Erkenntnisse aus hunderten realen Incident-Response-Einsätzen, Darknet-Analysen und offensiver Forschung ein.

Kontaktieren Sie uns, um die alles entscheidende Frage zu klären: Ist bereits jemand in Ihrem Netzwerk – und wenn ja, wo und wie weiter? Wir unterstützen Sie, damit Ihre Organisation Tag für Tag sicher ist.

Bildlegende: mit KI generiertes Bild