Source:https://thehackernews.com/2025/11/hackers-weaponize-windows-hyper-v-to.html
🛡 概要
Bitdefenderの技術報告によれば、Curly COMradesは被害端末でWindowsのHyper‑Vロールを有効化し、極小構成のAlpine Linuxベース仮想マシン(約120MB/256MB)を密かに展開。ゲストVM内で独自マルウェア(CurlyShellのリバースシェルとCurlCatのリバースプロキシ)を動作させ、ホストOS上のEDRやアンチウイルスの検知面から実行基盤そのものを外すことで回避を図りました。活動は少なくとも2023年後半から継続し、2025年の分析ではジョージアおよびモルドバに対する攻撃で確認されています。
本件は製品の脆弱性悪用ではなく、正規の仮想化機能の濫用です。現時点で本事案に紐づくCVE/CVSSの公開は確認されていません。
🔍 技術詳細
攻撃者は管理者権限を得たWindows 10ホストでHyper‑Vを有効化(例:dism.exe /Online /Enable-Feature /FeatureName:Microsoft-Hyper-V /AllやPowerShellのEnable-WindowsOptionalFeature)。その後、最小構成のAlpine Linuxイメージを導入し、ゲストVM上に以下の要素を配置しました。
- CurlyShell(ELF/C++):ヘッドレス常駐デーモン。C2へHTTP GETでコマンドをポーリングし、結果をHTTP POSTで送信。コマンドは暗号化され、VM内で直接実行。
- CurlCat:CurlyShellとコード基盤を共有しつつ、受信データの扱いを変更。トラフィックをSSH経由で中継するリバースプロキシ的役割。
このほか、持続的な遠隔操作のためのRuRat、認証情報窃取のためのMimikatz、モジュール式.NETインプラントMucorAgent(初期版は2023年11月に遡る)が確認されています。プロキシ/トンネリングにはResocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel、SSHなど複数手段を併用。PowerShellスクリプトでのリモートコマンド実行も観測されています。
VMをホストのEDRから独立させることで、プロセス監視・メモリスキャン・ユーザ空間フックに基づく防御を回避。ネットワーク面では、HTTPベースC2(GETポーリング/POST結果送信)と多段プロキシを組み合わせ、可用性と秘匿性を両立させています。Windows側ではHyper‑Vのサービス(例:vmms.exe、vmwp.exe)、仮想スイッチ(vEthernet)やVHDXの生成(既定パス例:C:\ProgramData\Microsoft\Windows\Hyper-V\Virtual Hard Disks)などの痕跡が残る一方、マルウェア本体はゲスト内に閉じるためホストEDRの可視性は限定的になります。
⚠ 影響
・ホストEDR/AVの検知回避により、リモートシェル/プロキシを長期維持される恐れ。
・認証情報窃取(Mimikatz)から横展開、データ持ち出し、追加ペイロード投入へ波及。
・多段トンネルにより、出口監視を回避しつつC2と安定通信。
🛠 対策
- 特権最小化と申請制:一般端末でのHyper‑V有効化を原則禁止。ローカル管理者利用を廃止し、JIT/JEAを導入。
- 構成管理:GPO/MDMで仮想化ロールの禁止、WDAC/Applockerでdism.exeやEnable-WindowsOptionalFeatureの実行を制限(必要部門は許可リスト方式)。
- 資産監視:Hyper‑Vロールの有無、VM作成、仮想スイッチ生成、VHDX新規作成を継続監査。例外はチケットで証跡化。
- ネットワーク制御:不要なHTTP/SSH/SSLの外向き通信や匿名プロキシへの接続をEgressで制限。プロキシ経由強制とTLS検査(プライバシー/法令に配慮)。
- EDR/NDRの補完:ゲストVMの可視化が困難である前提で、ホストのHyper‑Vイベントとフロー監視を強化。VM運用が業務要件にある端末にはゲスト側センサも配備。
- IR手順:VM悪用想定のプレイブックを準備(vmms停止/隔離、VHDXイメージの証拠保全、ホスト・ゲスト双方の揮発性情報採取)。
📌 SOC視点
- プロセス/コマンド:dism.exe/Enable-WindowsOptionalFeatureによるHyper‑V有効化、PowerShell実行(4103/4104)を相関。Sysmon EID 1(ProcessCreate)で引数含め記録。
- サービス/ドライバ:新規サービス作成(WinEvt 7045)、Hyper‑V関連サービスの開始/停止の変化を検知。
- ファイル/レジストリ:VHDX/ISOの作成(Sysmon EID 11)、既定Hyper‑Vパスへの急な書込み。新規VMSwitch設定の痕跡。
- ネットワーク:一定間隔のHTTP GETポーリングとPOST戻りの小型フロー、Stunnel/SSH/Ligolo-ng特有のトンネルパターン、未知ASNへの多発通信。
- ホスト-ゲスト相関:vmwp.exe周辺のディスク/ネットワーク活動のスパイクと、同時期のEDRテレメトリ空白を組み合わせ検知。
📈 MITRE ATT&CK
- Defense Evasion(TA0005)/ Hide Artifacts(T1564):Hyper‑V上のゲストVM内でマルウェアを実行し、ホストのEDR可視域から外す運用(報告のとおり)。
- Command and Control(TA0011)/ Application Layer Protocol: Web(T1071.001):CurlyShellがHTTP GETでコマンド取得、POSTで結果送信。
- Command and Control(TA0011)/ Proxy(T1090):Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel、SSHなど多段プロキシ/トンネリング。
- Execution(TA0002)/ PowerShell(T1059.001):リモートコマンド実行用のPowerShellスクリプト使用。
- Credential Access(TA0006)/ OS Credential Dumping(T1003):Mimikatzによる資格情報窃取。
- Exfiltration(TA0010)/ Exfiltration Over C2 Channel(T1041):HTTP経由でコマンド結果等を送信。
🏢 組織規模別助言
小規模(〜50名): Hyper‑Vの一律禁止(GPO/Intune)とローカル管理者廃止が最優先。商用EDRが難しい場合はSysmon+集中ログでdism/PowerShellを重点監視。プロキシ強制とDNSフィルタで外向き制御を簡素に実装。
中規模(50〜500名): WDAC/Applockerで仮想化関連バイナリにポリシー適用。NDRを用いたHTTPビーコン/SSHトンネル検出を併用。IR体制ではVM証拠保全の手順化とフォレンジック教育を実施。
大規模(500名以上): 構成管理DB(CMDB)と連携し、Hyper‑Vロール逸脱検知を自動化。ZTNA/SEGでEgress制御を細分化。開発/研究用途でVMが必要な部門は隔離セグメント化し、ゲスト側センサも標準配備。
🔎 類似事例
- Ragnar Locker:Oracle VirtualBox上に最小Windows VMを展開し、ランサムウェアをVM内実行してEDRを回避(2020年報告)。
- Maze系の一部事例:VMを介した実行・回避テクニックの採用が観測。
- 本件:CVEを伴わない「正規機能の濫用」。CVE/CVSSの割当は未確認。
🧭 次の一手
まずは自社のエンドポイントで「Hyper‑Vが許可されているか」「誰がいつ有効化したか」を棚卸ししてください。続けて、dism/Enable-WindowsOptionalFeatureの実行制御、Hyper‑Vイベント収集の有効化、HTTP/SSHトンネルの検知ルール整備を進めましょう。実践手順として、(1)Hyper‑V監査チェックリスト、(2)WDAC/Applockerポリシー例、(3)Sysmon/NDRの検知シグネチャ集の順に取り組むことを推奨します。
