El grupo de hackers rusofilos conocido como Curly COMrades está utilizando la tecnología de hipervisor Hyper-V de Microsoft en sistemas Windows comprometidos para desplegar una máquina virtual (VM) ligera basada en Linux (Alpine Linux). El objetivo es ocultar su malware y evadir soluciones tradicionales de detección de endpoints (EDR).
Hipervisor como Escondite: VM Maliciosa en Hosts Windows
Esta técnica explota la confianza en las tecnologías de virtualización de Microsoft para lograr una persistencia y un nivel de evasión muy alto.
Mecanismo de Evasión
- Activación de Hyper-V: Una vez consolidado el host Windows, el actor habilita el rol Hyper-V (usando DISM/PowerShell) y luego deshabilita la interfaz de administración para evitar trazas de supervisión.
- VM Oculta: Los atacantes descargan e importan una VM minimalista basada en Alpine Linux ($approx$120 MB de disco, 256 MB de RAM) y la denominación “WSL” para disfrazarse y aprovechar la existencia legítima del Subsistema de Windows para Linux.
- Malware Encubierto: Dentro de la VM, ejecutan herramientas personalizadas como “CurlyShell” (shell inverso) y “CurlCat” (proxy inverso /túnel) que permiten comando remoto, persistencia y tráfico encubierto.
- Evasión de Perímetro: La VM se conecta a la red mediante el adaptador “Default Switch” de Hyper-V. El malicioso venta usando el tráfico IP legítimo del host Windows, lo que dificulta la detección por controles de perímetro o firewall que no tienen visibilidad dentro de la VM.
Implicaciones Críticas
- Evasión de EDR: Muchos EDR no inspeccionan dentro de una VM o no esperan que una VM Linux esté actuando como infraestructura de comando en un host Windows, lo que representa un nivel de evasión muy alto.
- Persistencia invisible: Al usar Hyper-V, la carga maliciosa no aparece como un proceso típico en el host Windows, lo que reduce las firmas y la detección.
- Objetivo de Alto Valor: La técnica afecta entornos corporativos de alto valor (Windows corporativos, centros de datos) y apunta claramente a espionaje prolongado.
- Living Off the Land Avanzado: El uso de tecnologías legítimas de virtualización por adversarios para evadir la detección es una tendencia creciente que exige que la defensa no solo esté en el sistema operativo huésped, sino en la capa de virtualización.
Recomendaciones
- Monitoreo de Hyper-V y Roles (SOC/TI)
- Alertas de Habilitación: Monitorizar la habilitación del rol Hyper-V en hosts Windows que normalmente no lo utilizan, creando alertas para eventos de instalación de rol o uso de DISM/PowerShell.
- Inventario de VMs: Revisar adaptadores de red Virtual Switch y buscar máquinas virtuales con nombre inusual (“WSL”, “AlpineVM”, etc.). Implementar herramientas que detecten máquinas virtuales ligeras o sin supervisión en servidores corporativos.
- Auditoría de Procesos: Aumentar la visibilidad del proceso de hipervisor y correlacionar la actividad de red con la ejecución de procesos de la capa de virtualización.
- Segmentación y Control de Red
- Aislamiento: Implementar segmentación de red estricta para asegurar que los hosts que no deben ejecutar VM estén limitados.
- Salida de VM: Asegúrese de que las VM tengan restricción de salida y no puedan actuar libremente hacia Internet. Inspeccionar el tráfico saliente de PC corporativas con comportamiento de máquina virtual (ej., túneles SSH encapsulados en HTTPS).
- Endurecimiento del punto final
- Restricción de Privilegios: Limitar la capacidad de instalar roles de hipervisor en endpoints de usuarios finales o estaciones de trabajo mediante políticas de grupo.
- Visibilidad en la capa de virtualización: Asegurar que las soluciones EDR/NGAV también inspeccionen el tráfico y los procesos de máquinas virtualizadas, no solo los procesos del host Windows.
- Auditoría de Persistencia: Realizar auditorías de privilegios y buscar cuentas administrativas o locales creadas recientemente que permitan persistencia lateral.
