【安全圈】黑客借助 Hyper-V 隐匿 Linux VM 躲避安全检测

关键词

安全漏洞

安全厂商 Bitdefender 最新报告披露，一个被追踪为Curly COMrades的威胁组织在攻陷 Windows 主机后，开始“武器化”虚拟化技术来规避主机端安全防护。研究人员在多个受感染样本中发现，攻击者会启用 Windows 的Hyper‑V角色，在受害机器上悄然部署一个极小型的 Alpine Linux 虚拟机——这一轻量化环境仅占用约 120MB 磁盘与 256MB 内存，里面运行着他们自研的反向 shell（CurlyShell）和反向代理工具（CurlCat）。

研究团队指出，Curly COMrades 自 2023 年底就开始活动，首次被公开记录于 2025 年 8 月，目标集中在格鲁吉亚与摩尔多瓦等地区，其活动特征与俄罗斯相关的利益诉求一致。早期工具链包含 RuRat 持久化手段、Mimikatz 的凭证窃取模块，以及名为 MucorAgent 的模块化 .NET 植入程序。后续分析（与 Georgia CERT 合作）又发现了更多关联工具与长期潜伏尝试，其中就包括这次通过 Hyper‑V 隔离执行环境的做法。

通过将恶意程序与执行环境封装在 VM 内，攻击者有效切断了许多传统主机级 EDR 的可见面：大多数 EDR 侧重于监控宿主操作系统中的进程、线程、内存和行为链条，而当恶意逻辑在虚拟机内部以“正常”用户态进程与轻量 Linux 守护进程运行时，宿主上的检测信号会被显著削弱。Bitdefender 的研究者指出，Curly COMrades 明显有意维持反向代理能力，并不断向该隐蔽环境投放新工具以保持灵活控制能力。

在具体技术实现上，该组织采用了多种代理与隧道手段（包括 Resocks、Rsockstun、Ligolo‑ng、CCProxy、Stunnel 和基于 SSH 的通道），并配合 PowerShell 脚本实现远程命令执行。虚拟机内运行的CurlyShell为一个此前未被公开的 ELF 二进制，使用 C++ 编写，以守护进程形式无界面驻留内存，通过轮询 C2 的 HTTP GET 请求获取命令，并用 HTTP POST 回传执行结果。研究显示 CurlyShell 与 CurlCat 两个家族共享大量代码基础，但在数据处理上有所分歧：CurlyShell 直接执行接收到的命令，而 CurlCat 则把流量通过 SSH 转发，二者互为补充以提升适应性。

此次发现暴露出两个值得关注的威胁趋势：其一，攻击者越来越频繁地利用虚拟化与容器化技术，将恶意载荷在“第二层”环境中运行，从而逃避传统侦测；其二，威胁组织在代理与反向通道方面有高度投入，强调持久性与灵活性，表明他们的目标并非一次性窃取，而是长期的隐蔽投资与情报收集。

对防御方的启示也很明确：单纯依赖宿主级行为检测已不足以应对此类战术，安全团队应考虑将视野扩展到虚拟化层面与外围网络流量异常，建议采取的措施包括但不限于：

• 审计并限制主机上 Hyper‑V 等虚拟化角色与功能的启用权限，仅对受信任的系统与管理员开放；

• 在主机与管理平面启用基于可信平台（TPM/secure boot）与最小权限的部署策略，防止被攻陷的普通进程轻易启用 Hyper‑V；

• 强化对宿主到网络出口的流量监测，留意异常的长连接、轮询式 HTTP 流量或通过常见端口掩盖的反向 shell 通信；

• 将虚拟化层日志纳入 SIEM，监控虚拟机创建、启动与网络隧道建立等事件；

• 对关键资产实行主机隔离、应用白名单与行为回滚策略，并尽量避免在高风险终端上允许未经审核的功能安装。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！