VM-basierte Evasion: So erkennen Sie Angriffe trotz XDR Blind Spots

Baar, 04.12.2025 (PresseBox) - Es ist das bekannte Katz-und-Maus-Spiel. Wir rollen XDR-Lösungen aus, härten Endpoints und fühlen uns sicher, weil wir jeden Prozessstart, jede Registry-Änderung und sämtliche Eventlogs überwachen. Doch was, wenn der Angreifer gar nicht mehr auf unserem Betriebssystem arbeitet, sondern darin seine eigene Schatten-ITaufzieht? Eine Analyse und ein4-Punkte-Guide, wie Sie verborgene Angriffe aufspüren können.

In der globalen Threat-Intel-Community, wie auch unserIncident Responder Teambei InfoGuard, registrieren in den vergangenen Monaten einen beunruhigenden Trend: Angreifer nutzen zunehmend Virtualisierungstechnologien, um ihre Aktivitäten vor Sicherheitslösungen zu verbergen. Das Motto lautet nicht mehr nur «Living off the Land», sondern«Bring Your Own Land».

XDR als blinder Fleck: Wie eine VM als Tarnkappe wirkt

Moderne XDR- und Antiviren-Lösungen sind tief im Betriebssystem verankert (Kernel Callbacks). Sie sehen im Prinzip alles, was das Host-Betriebssystem sieht. Doch genau hier liegt die Krux: Startet ein Angreifer eine virtuelle Maschine (VM) auf dem Host, erkennt das XDR oft nur einen einzigen Prozess: den Hypervisor (z. B. «qemu.exe» oder «VBoxHeadless.exe»). Was innerhalb dieser VM passiert – welche Malware ausgeführt wird undwelche C2-Verbindungen aufgebaut werden – bleibt für das XDR auf dem Host meist eine «Black Box».

Der Angreifer schafft sich eine isolierte Umgebung, in der er ungestört schalten und walten kann. Den Host nutzt er nur als Durchgangsstation für Netzwerkverkehr und greift mittels «Shared Folders» auf dessen Dateisystem zu.

Hinzu kommt: Features wie dasWindows Subsystem for Linux (WSL)sind mittlerweile auf vielen Geräten standardmässig verfügbar. Für Hacker wirkt das wie ein offenes Scheunentor: Ein komplettes Linux-Arsenal, vorinstalliert und sofort verfügbar, doch oft ausserhalb derSichttiefe des XDR.

Ransomware und APTs: So bleiben VM-basierte Angriffe unerkannt

VM-Tarnangriffe sind längst nicht mehr nur Theorie. Verschiedene Bedrohungsakteure nutzen virtualisierungsbasierte Techniken, sogenannte Geistermaschinen, bereits aktiv «in the Wild».

Ragnar Locker & die Windows XP VM

Einer der prominentesten Fälle war die Ransomware-Gruppe Ragnar Locker. Um der Entdeckung zu entgehen, luden die Angreifer einen kompletten Oracle VirtualBox Installer und ein winziges, vorkonfiguriertes Windows XP Image auf die Opfersysteme.

Der Clou: Die Ransomware lief in der virtuellen Maschine. Über «Shared Folders» wurde die lokale Festplatte des Hosts als Netzlaufwerk in die VM gemountet. Die Verschlüsselung fand folglichvon der VM aus statt.

Für das XDR auf dem Host wirkten die Vorgänge lediglich wie gewöhnliche, unverdächtige Schreibzugriffe des VirtualBox-Prozesses.

QEMU Tunneling

Fortgeschrittene Angreifergruppen (wie z. B. APT28 oder kriminelle Akteure um Maze) nutzen QEMU, einen Open-Source-Emulator.

Da QEMU keine Installation benötigt (es existiert ein Portable Binary), kann es einfach auf ein kompromittiertes System kopiert werden. Die Angreifer starten darauf ein minimales Linux-Image, um C2-Tunnel aufzubauen oder Tools für Lateral Movement auszuführen.

Für ein Security Operations Center (SOC) präsentiert sich das Geschehen oft so, als würde eine reguläre, unverdächtige Anwendung laufen.

WSL – Der Wolf im Schafspelz

Besonders perfide ist die Nutzung von WSL2. Da WSL2 eng mit dem Windows-Kernel verzahnt ist, wird es oft als vertrauenswürdig eingestuft.

Angreifer verwenden «bash.exe» oder «wsl.exe», um Linux-Payloads (ELF-Binaries) auf einem Windows-Host auszuführen.

Da viele klassische AV-Scanner primär nach Windows-Malware (PE-Dateien) suchen, werden Linux-Tools (wie Python-Scripte oder Linux-Backdoors) schlicht übersehen oder ignoriert.

4 Threat-Hunting-Ansätze: Die Geistermaschinen-Jagd beginnt

So raffiniert VM-basierte Angriffe auch agieren, ganz undetektierbar sind sie nicht. Eine virtuelle Maschine beansprucht stets Ressourcen wieCPU, RAM, Disk-I/O und Netzwerk. Aus diesen Spuren ergeben sich klare Ansatzpunkte für Threat Hunter.

Nachfolgend die vier zentralsten Threat-Hunting-Ansätze für Ihre Jagd auf Geistermaschinen:

1. Prozess-Überwachung

Suche nach bekannten Virtualisierungs-Prozessen, die aus ungewöhnlichen Verzeichnissen oderatypischen Usern gestartet werden.

• QEMU «qemu-system-x86_64.exe» gestartet aus C:\Users\Public\Temp\ oder C:\Users\<User>\AppData\.
• VirtualBox«VBoxHeadless.exe»ohne das dazugehörige GUI-Frontend.
• Hyper-V: «vmwp.exe», die unerwartet auf dem System aktiv ist.
• WSL: «wsl.exe oder bash.exe», die Verbindungen zu externen IPs herstellen, aus PowerShell heraus ausgeführt werden oder ihrerseits PowerShell-Prozesse starten.

Virtuelle Maschinen benötigen Festplatten-Images. Diese Dateien sind in der Regel gross und besitzen spezifische Endungen. Ein Hunting-Scan nach solchen Dateien in Benutzerprofilen kann Gold wert sein:

• Dateitypen wie .vmdk, .vdi, .qcow2 (QEMU/KVM), .vhdx oder .vhd.
• Grosse Dateien (>500MB) in temporären Ordnern mit zufälligen Namen.

Der Netzwerkverkehr aus der VM muss durch den Host. Oft nutzen die Angreifer hierfür NAT (Network Address Translation).

• Hunting nach Prozessen wie Hypervisor-Prozessen, welche Ports öffnen oder ungewöhnlichen Traffic, wie SSH Traffic über Port 443, generieren.
• Baut ein einzelner Prozess wie «qemu-system-x86_64.exe» Verbindungen zu hunderten internen IPs auf (Scanning), ist dies ebenfalls ein zu prüfenderIndikator.

Bei WSL und Hyper-V schreibt Windows fleissig Logs.

• Suche nach Events, die eineAktivierung von Features anzeigen (z. B. dism /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux).
• Kurzzeitige Service-Installationen von VirtualBox oder Vmware-Treibern.

Die Nutzung von Virtualisierung zur Umgehung von Sicherheitskontrollen ist ein Trend, der vermutlich noch an Bedeutung gewinnen dürfte. Sie verschafft Angreifern eine nahezu unsichtbare, vollständig kontrollierte Umgebung direkt im Opfernetzwerk.

Für die Cyberabwehr bedeutet das: Wir dürfen uns nicht blind auf das «grüne Häkchen» unseres XDRs verlassen. Wir müssen verstehen, was auf unseren Endpoints möglich ist. Ist WSL aktiviert? Darf jeder User Hyper-V nutzen?

Auf Basis dieser Erkenntnissemüssen wir unsere Detection-Regeln anpassen. Wer ausschliesslich nach Malware sucht, findet vielleicht nichts. Wer hingegen Verhaltensanomalien in Virtualisierungs-Software jagt, verbucht mit etwas Glück und Expertise den entscheidenden Treffer!

Als Leitplanke für die Weiterentwicklung Ihrer Sicherheitsmassnahmen hier die drei zentralen Takeaways:

• XDR Blind Spots: Malware innerhalb einer VM wird oft nicht vom Host-AV erkannt.
• LOLBins: WSL und Hyper-V sind mächtige Tools, die gegen uns verwendet werden können.
• Detection: Fokus auf Prozesse, grosse Image-Dateien, Netzwerkverhalten der Hypervisor-Prozesse und Artefakten wie das Aktivieren von Features im EventLog.

Virtuelle Maschinen als Tarnkappe stellen XDR-Lösungen zunehmend vor drastische Herausforderungen. Damit solche versteckten Strukturen gar nicht erst zum blinden Fleck werden, unterstützen wir unsereManaged-Security-Kunden mit regelmässigen Threat-Hunting-Analysen, die genau diese Verhaltensmuster aufdecken.

Organisationen ohne diese Managed-Security-Unterstützung bietet einCompromise Assessment von InfoGuardeinen ebenso gründlichen Blick unter die Oberfläche.

Unsere Expertinnen und Experten untersuchen Ihre Infrastruktur nach Indicators of Compromise, ungewöhnlichem Verhalten und Hinweisen auf fortgeschrittene Bedrohungen. Dabei fliessen Erkenntnisse aus hunderten realen Incident-Response-Einsätzen, Darknet-Analysen und offensiver Forschung ein.

Kontaktieren Sie uns, um die alles entscheidende Frage zu klären: Ist bereits jemand in Ihrem Netzwerk – und wenn ja, wo und wie weiter?Wir unterstützen Sie, damit Ihre Organisation Tag für Tag sicher ist.

Autor: Stefan Rothenbühler