Payouts King勒索软件利用QEMU隐藏虚拟机绕过安全检测

导语：当勒索软件开始”住在虚拟机里”，传统安全工具就成了睁眼瞎。Sophos安全团队近日披露，勒索软件组织Payouts King在攻击活动中利用开源虚拟化工具QEMU，在受害者的Windows系统上秘密安装一个完全隐藏的Alpine Linux虚拟机。所有恶意操作——数据提取、C2通信、工具部署——全部在虚拟机内部完成，主机上的任何安全软件都看不见。这是一个危险的趋势：网络攻击正在利用虚拟化技术建造”安全屋”，而大多数企业的防护体系对此毫无准备。

一、攻击概述

1.1 事件背景

Sophos安全团队在2026年初发现了这起不同寻常的攻击行动，并将两起相关攻击活动分别追踪编号为STAC4713（2025年11月首次发现）和STAC3725（2026年2月活跃）。

这两次攻击的共同特点令安全研究人员震惊：攻击者不再满足于普通的恶意软件加载器或加密通信，而是直接在受害者系统上运行一个完整的隐藏虚拟机。

这意味着：

主机上的杀毒软件无法扫描虚拟机内部的内容
主机上的EDR工具看不到虚拟机中的进程和网络连接
攻击者可以像操作真实服务器一样，在虚拟机中部署任何攻击工具

1.2 关键特征

属性	描述
勒索软件家族	Payouts King（疑似BlackBasta前 affiliates）
初始入侵向量	SonicWall VPN（无MFA）、SolarWinds Web Help Desk（CVE-2025-26399）、Cisco SSL VPN、Microsoft Teams钓鱼
恶意虚拟机系统	Alpine Linux 3.22.0
虚拟机平台	QEMU（开源，合法软件被武器化）
持久化方式	计划任务”TPMProfiler”，以SYSTEM权限运行
虚拟机磁盘伪装	伪装为数据库文件（.db）和DLL文件
C2通信方式	反向SSH隧道
攻击组织关联	GOLD ENCOUNTER（曾针对VMware/ESXi环境）

二、技术深度剖析

2.1 攻击三阶段

第一阶段：突破边界

攻击者的初始入侵手段在2025-2026年间经历了明显演变：

早期（2025年11月，STAC4713）：利用暴露在外网且未启用MFA的SonicWall VPN设备直接进入内网。

近期（2026年，STAC3725）：SolarWinds Web Help Desk漏洞（CVE-2025-26399）、暴露的Cisco SSL VPN、以及通过伪装成IT支持人员诱导员工下载QuickAssist工具的社会工程攻击。

2026年2月的一次攻击中，GOLD ENCOUNTER组织甚至伪装成IT人员，通过Microsoft Teams联系目标公司员工，诱导其安装QuickAssist——这是一种合法的远程支持工具，但被攻击者滥用来投递恶意载荷。

第二阶段：建立据点

获得初始 foothold 后，攻击者在受感染Windows主机上部署QEMU虚拟化环境：

# 创建伪装成数据库文件的虚拟机磁盘
# 实际为QEMU qcow2格式虚拟磁盘
TPMProfiler_suspicious.qcow2  # 伪装为SQLite数据库
vcruntime140_1.dll            # 伪装为Visual C++运行时库（实际为恶意载荷）

# 建立持久化计划任务
# 任务名称：TPMProfiler（看起来像合法的TPM配置文件）
schtasks /create /tn "TPMProfiler" /tr "C:Program FilesQEMUqemu-system-x86_64.exe ..." /sc ONLOGON /ru SYSTEM

QEMU虚拟机以SYSTEM权限启动（最高权限），虚拟机磁盘文件被伪装成数据库和DLL文件，巧妙地隐藏在正常的系统文件中。

第三阶段：虚拟机内作案

进入虚拟机后，攻击者不再使用Windows端的任何工具，而是在Alpine Linux虚拟机中手动编译部署专业渗透工具集：

虚拟机内攻击工具包括：Impacket（Windows协议工具包）、KrbRelayx（Kerberos中继攻击工具）、Coercer（强制认证工具）、BloodHound.py（AD域分析工具）、NetExec（原PsExec增强版）、Kerbrute（Kerberos用户枚举）、Metasploit Framework（渗透测试框架）。

这种”在虚拟机里攻击”的模式，让整个攻击链对主机安全工具完全透明。

2.2 数据提取技术

在后期阶段，攻击者利用Windows的卷影复制服务（VSS）和SMB协议提取AD数据库：

# 使用合法的vssuirun.exe（Windows卷影复制UI运行程序）创建卷影副本
# 然后通过SMB协议将NTDS.dit、SAM、SYSTEM hive复制出来
# 这些文件包含了整个AD域的所有账户哈希

vssadmin create shadow /for=C:
copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1WindowsNTDSNTDS.dit C:Temp

这些数据被用于后续的凭证重放攻击和横向移动。提取完成后，数据通过FTP服务器外传——这是一个较少被监控的出站协议，进一步降低被发现的风险。

2.3 勒索软件特性

根据Zscaler本周发布的报告，Payouts King勒索软件具有以下特征：

重磅混淆与反分析：代码经过深度混淆，包含大量反调试和反虚拟机检测逻辑
持久化机制：通过多个计划任务维持存在
安全工具终止：使用低级系统调用终止防病毒和EDR进程
加密策略：AES-256（CTR模式）+ RSA-4096，对大文件采用间歇性加密以加快勒索速度
数据泄露威胁：通过暗网泄露站点施压，威胁公开窃取的数据

三、QEMU为何成为黑客新宠

3.1 合法工具的武器化

QEMU（Quick Emulator）是一个历史悠久的开源CPU模拟器和系统虚拟化工具，被全球数百万开发者和企业用于测试、虚拟化和系统仿真。它的优点——跨平台、高性能、广泛兼容——同样是黑客选择它的理由：

攻击优势：

合法软件：QEMU是正规开源项目，安装时不会触发任何安全警报
功能完整：运行完整的操作系统，不是简单的沙箱，而是真正的独立虚拟机
生态丰富：支持几乎所有主流操作系统和架构
资源充足：在目标机器上编译或下载二进制文件非常容易

3.2 安全工具的盲区

传统的终端安全软件（EPP/EDR）设计时假设”恶意行为发生在主机上”。而QEMU虚拟机内部对主机安全工具完全不可见：

主机EDR看不到虚拟机内的进程
主机防病毒软件无法扫描虚拟机的文件系统
主机网络监控工具看不到虚拟机内的TCP/UDP连接（除非做了特殊的网络桥接配置）

Sophos对此评论道：“攻击者正在利用合法虚拟化工具建造对安全工具完全隐形的攻击基础设施，这一趋势正在增长。”

3.3 历史案例

这并非QEMU首次被恶意使用：

3AM勒索软件组织：曾使用QEMU进行攻击前期侦查
LoudMiner挖矿木马：在Windows上安装带后门的Linux虚拟机用于挖矿
CRON#TRAP钓鱼活动：通过Windows上的后门Linux虚拟机维持持久化

Payouts King的不同之处在于：他们将QEMU作为完整的攻击操作平台，而不是单一目的的工具。

四、检测与防御方案

4.1 检测指标（IoCs）

计划任务：

查找名为”TPMProfiler”的异常计划任务
查找以SYSTEM权限运行的QEMU相关进程
schtasks /query /fo LIST /v 检查所有计划任务的完整信息

QEMU非法安装：

企业环境中，QEMU通常不是标准安装软件。查找以下文件特征：

# 检查QEMU相关进程
Get-Process | Where-Object {$_.Path -like "*qemu*"}

# 检查非标准虚拟化软件
dir "C:Program FilesQEMU"
dir "C:Program Files (x86)QEMU"

# 检查异常网络监听端口（QEMU虚拟机端口转发）
netstat -ano | findstr "5555 5900 3128"

SSH隧道检测：

# 检查非标准SSH端口的出站连接
netstat -tunap | grep ssh

# 检查SSH authorized_keys中的可疑公钥
cat ~/.ssh/authorized_keys

# 检查异常SSH配置
cat /etc/ssh/sshd_config | grep -E "Reverse tunneling|AllowTcpForwarding"

AD域异常：

# 检查是否有新增本地管理员
net localgroup administrators

# 检查AD中异常的Kerberos服务账户创建
# 查找BloodHound数据收集痕迹

4.2 防御建议

终端层面：

部署应用控制（Application Control）策略，仅允许白名单软件运行
使用EDR的高级内存保护功能检测进程注入和可疑子进程生成
考虑在HIPS（主机入侵防御系统）中添加对QEMU/KVM虚拟机软件安装的告警

网络层面：

监控非标准协议出站流量，尤其是SSH（22端口）和FTP（21端口）
实施严格的出站防火墙规则，限制未经授权的隧道和代理流量
对SMB协议（445端口）实施最小权限原则，阻止不必要的横向移动

身份安全：

对所有远程访问服务（SonicWall VPN、Cisco VPN、SolarWinds等）强制启用MFA
定期审计本地管理员组成员，避免权限过度集中
监控AD中的异常Kerberos票据请求模式

漏洞管理：

优先修补暴露在互联网的服务（VPN、VDI、远程支持工具）
特别关注CVE-2025-26399（SolarWinds Web Help Desk）等已知的被利用漏洞

五、总结

Payouts King的QEMU战术代表着勒索软件攻击的一次质的飞跃：当攻击者开始在受害者的系统上运行”隐形服务器”时，我们赖以检测威胁的底层假设就开始崩塌。传统的”在主机上找恶意进程”的思路，在这里完全失效。

这是一个令人不安的趋势：它证明任何合法的系统管理工具都可以被武器化。QEMU、Kubernetes、Docker——这些为开发者带来便利的开源项目，同时也降低了黑客构建高级攻击基础设施的门槛。

对于防御者而言，这意味着我们必须从”检测恶意软件”转向”检测异常行为”——虚拟机的高频启动、不寻常的系统级进程、非授权的网络隧道，以及来自合法工具但用于恶意目的的操作。

文章版权归作者所有，未经允许请勿转载。

THE END