det0321-detection-strategy-for-hidden-virtual-instance-execution

# DET0321 — Detection Strategy for Hidden Virtual Instance Execution ## Descrição Esta estratégia detecta a execução de máquinas virtuais ocultas como técnica de evasão de defesas. Adversários podem usar hypervisors tipo-2 (VirtualBox, VMware Workstation, QEMU/KVM) ou containers para executar payloads maliciosos dentro de ambientes isolados, tornando-os invisíveis para EDRs instalados no host. A técnica está relacionada a [[t1564-hide-artifacts|T1564-hide-artifacts]] e [[T1564.006-run-virtual-instance]]. A detecção exige monitoramento de processos de hypervisor (vmware.exe, VBoxSVC.exe, qemu-system-*), criação de interfaces de rede virtuais (VMnet, vboxnet), carregamento de drivers de virtualização e alocação anômala de memória e CPU. A presença de ferramentas de virtualização em endpoints que não são estações de desenvolvimento é um sinal de alta fidelidade. Grupos APT avançados e operadores de ransomware utilizam esta técnica para rodar cifradores dentro de VMs e dificultar análise forense. O monitoramento de drivers carregados (vboxdrv.sys, vmci.sys) e de interfaces de rede não reconhecidas é um vetor de detecção eficaz. ## Indicadores de Detecção - Processos de hypervisor (VBoxSVC.exe, vmware.exe, qemu-system-x86_64) em endpoints não-desenvolvimento - Carregamento de drivers de virtualização (vboxdrv.sys, vmci.sys, kvm.ko) sem autorização - Criação de interfaces de rede virtuais (VMnet, vboxnet, virbr0) inesperadas - Alocação repentina de grandes blocos de memória por processos não identificados - Imagens de disco virtual (.vmdk, .vdi, .qcow2) criadas em diretórios temporários - Downloads de ISOs de sistema operacional por processos não administrativos ## Técnicas Relacionadas - [[T1564.006-run-virtual-instance]] — técnica primária - [[t1564-hide-artifacts|T1564-hide-artifacts]] — categoria pai - [[t1562-impair-defenses|T1562-impair-defenses]] — evasão de EDR via isolamento em VM - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação de payload dentro de VM - [[t1036-masquerading|T1036-masquerading]] — disfarce de processos de hypervisor ## Analytics Relacionadas - [[an0909-analytic-0909|AN0909 — Analytic 0909]] - [[an0910-analytic-0910|AN0910 — Analytic 0910]] - [[an0911-analytic-0911|AN0911 — Analytic 0911]] - [[an0912-analytic-0912|AN0912 — Analytic 0912]] --- *Fonte: [MITRE ATT&CK — DET0321](https://attack.mitre.org/detectionstrategies/DET0321)*