勒索軟體 PayoutsKing 濫用 QEMU 虛擬機器迴避偵測

事件背景與駭客手法

駭客濫用虛擬化平臺迴避偵測的手法，已出現多起資安事故。過去最常見的是濫用 VMware ESXi，也有利用 VirtualBox 和 Hyper-V 的情況。最近，駭客組織 STAC4713 開始濫用另一款開源虛擬化工具 QEMU，引起資安公司 Sophos 的高度注意。

技術細節：反向 SSH 後門

根據 BleepingComputer 與 Enigma Software 的報導，Payouts King 勒索軟體利用 QEMU 模擬器作為反向 SSH 後門。攻擊者藉此在受感染的系統上部署隱藏的虛擬機器（VM），例如使用 Alpine Linux 作為基礎環境。

規避端點防護機制

這種方法允許攻擊者建立隱藏的虛擬機器，從而有效地繞過端點防護系統。透過這些隱藏 VM，攻擊者可以建立反向 SSH 隧道與命令控制（C2）伺服器通訊，進而發動勒索軟體攻擊並加密受害電腦檔案。

偵測與應對

資安公司 Sophos 警告，濫用虛擬化平臺 QEMU 迴避偵測的活動有所增加。雖然攻擊者在偵察階段通常會利用 Windows 內建的小畫家、記事本、Edge 瀏覽器，並搭配第三方工具 WizTool 找出檔案共享資料夾及存取管道，但利用 QEMU 建立隱藏虛擬機器的技術，使得傳統偵測手段難以發現其存在。