# T1564.006 - Run Virtual Instance > [!info] Técnica MITRE ATT&CK > **ID:** T1564.006 | **Tática:** Defense Evasion | **Plataformas:** Windows, Linux, macOS, ESXi > Adversários executam instâncias virtuais em hosts comprometidos para ocultar atividade maliciosa de ferramentas de segurança do sistema hospedeiro. ## Descrição A técnica **T1564.006 - Run Virtual Instance** é uma subtécnica de [[t1564-hide-artifacts|T1564 - Hide Artifacts]] em que adversários implantam e executam máquinas virtuais (VMs) dentro de um sistema comprometido para criar um ambiente isolado onde atividades maliciosas ocorrem sem visibilidade direta das soluções de segurança do host. A virtualização cria uma camada de abstração entre o sistema operacional convidado (guest) e o hardware físico. Ferramentas de segurança baseadas em host - como EDRs, antivírus, DLP e agentes de monitoramento - geralmente instrumentam o kernel e o espaço de usuário do sistema operacional hospedeiro. Atividades realizadas **dentro** de uma VM ficam fora do alcance desses agentes, pois operam em um contexto de SO distinto. Essa técnica é especialmente eficaz contra: - **EDRs** que dependem de hooks no kernel do Windows/Linux do host - **Soluções DLP** que monitoram I/O de arquivos e rede no nível do SO hospedeiro - **Análise comportamental** baseada em telemetria do sistema operacional nativo Adversários podem aproveitar suporte nativo de virtualização (ex: **Hyper-V** no Windows, **KVM** no Linux) ou instalar hypervisors de terceiros como **VirtualBox**, **VMware Workstation** e **QEMU**. Em ambientes corporativos, onde ferramentas de virtualização já estão presentes para fins legítimos, a presença de uma nova VM pode passar despercebida por longos períodos. Uma variante mais leve dessa técnica abusa do **Windows Sandbox** - um ambiente virtualizado embutido no Windows 10/11 Pro e Enterprise - através de arquivos de configuração `.wsb`. O campo `<LogonCommand>` permite específicar um payload executável ao iniciar o sandbox, enquanto `<MappedFolder>` cria pastas compartilhadas entre o host e a VM, permitindo exfiltração de dados ou entrega de payloads adicionais. Em ambientes **ESXi/VMware vSphere**, adversários avançados criam VMs diretamente no servidor ESXi executando arquivos `.vmx` com o utilitário `/bin/vmx`. Quando combinado com a adição do comando ao script `/etc/rc.local.d/local.sh` (persistência via [[t1037-004-rc-scripts|RC Scripts]]), a VM reinicia automaticamente e permanece **invisível** no console do vCenter e na saída do comando `vim-cmd vmsvc/getallvms` - tornando a detecção por administradores extremamente difícil. **Técnica pai:** [[t1564-hide-artifacts|T1564 - Hide Artifacts]] --- ## Como Funciona O fluxo operacional desta técnica varia conforme o ambiente-alvo, mas segue uma estrutura consistente: ### 1. Reconhecimento de Capacidades de Virtualização O adversário primeiro identifica quais hypervisors estão disponíveis ou podem ser instalados sem alertar as defesas: ```powershell # Verificar se Hyper-V está habilitado no Windows Get-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V # Verificar se Windows Sandbox está disponível Get-WindowsOptionalFeature -Online -FeatureName Containers-DisposableClientVM # Verificar VirtualBox/VMware já instalados Get-Service -Name VBoxSVC -ErrorAction SilentlyContinue Get-Service -Name VMAuthdService -ErrorAction SilentlyContinue ``` ### 2. Provisionamento da Instância Virtual Dependendo do ambiente, o adversário usa uma das abordagens: **Via Windows Sandbox (.wsb):** ```xml <Configuration> <MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\shared</HostFolder> <ReadOnly>false</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>C:\users\WDAGUtilityAccount\Desktop\shared\payload.exe</Command> </LogonCommand> </Configuration> ``` **Via QEMU (Linux/Windows - portátil, sem instalação):** ```bash # QEMU pode ser executado sem privilégios de administrador em modo userspace qemu-system-x86_64 -hda malicious_vm.qcow2 -nographic -net nic -net user ``` **Via ESXi (ambientes vSphere):** ```bash # Criar e iniciar VM diretamente no ESXi ignorando vCenter /bin/vmx -s /vmfs/volumes/datastore1/hidden-vm/hidden-vm.vmx # Adicionar ao rc.local.d para persistência echo "/bin/vmx -s /vmfs/volumes/datastore1/hidden-vm/hidden-vm.vmx" >> /etc/rc.local.d/local.sh ``` ### 3. Execução de Atividade Maliciosa dentro da VM Com a VM em execução, o adversário realiza operações que não serão registradas pelo host: - Execução de malware sem exposição ao EDR do host - Movimento lateral via rede bridgeada (o tráfego parece vir de um IP distinto) - Criptografia de dados para ransomware - Mineração de criptomoedas ([[t1496-resource-hijacking|T1496 - Resource Hijacking]]) ### 4. Interação Host ↔ Guest Pastas compartilhadas ou adaptadores de rede em modo bridge permitem: - Transferência de arquivos entre VM e host - Exfiltração de dados coletados no host para a VM (e depois para C2) - Download de payloads adicionais do C2 para o host via VM como proxy --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial ao Host]) --> B[Reconhecimento de<br/>Capacidades de Virtualização] B --> C{Hypervisor\nDisponível?} C -->|Sim - Hyper-V/VirtualBox| D[Usar Hypervisor Existente] C -->|Não| E[Instalar Hypervisor<br/>VirtualBox/QEMU/VMware] C -->|Windows 10/11 Pro| F[Abusar Windows Sandbox<br/>arquivo .wsb] C -->|Ambiente ESXi| G[Criar VM no ESXi<br/>via /bin/vmx] D --> H[Provisionar Imagem<br/>de SO Guest] E --> H F --> I[Configurar LogonCommand<br/>com payload] G --> J[Adicionar ao rc.local.d<br/>Persistência ESXi] H --> K[Iniciar VM] I --> K J --> K K --> L[Configurar Pasta<br/>Compartilhada Host↔Guest] L --> M[Executar Malware<br/>dentro da VM] M --> N{Objetivo} N -->|Ransomware| O[Criptografar Arquivos<br/>do Host via Share] N -->|Cryptominer| P[Mineração de<br/>Criptomoeda] N -->|Lateral Movement| Q[Movimento Lateral<br/>via Rede Bridge] N -->|Evasão EDR| R[Executar Payload<br/>Sem Detecção] O --> S[Limpeza de Rastros<br/>T1070 - Indicator Removal] P --> S Q --> S R --> S ``` --- ## Exemplos de Uso ### Ragnar Locker - Ransomware via VirtualBox O [[s0481-ragnar-locker|Ragnar Locker]] foi um dos primeiros grupos de ransomware a operacionalizar essa técnica em escala. Em ataques documentados em 2020, os operadores entregavam um instalador VirtualBox completo (versão 5.2.6 - versão antiga para evitar detecções baseadas em versão) junto com uma imagem de VM Windows XP (~280 MB) dentro do pacote de ransomware. **Fluxo de ataque:** 1. O instalador do VirtualBox era executado silenciosamente (`VirtualBox-5.2.6-r120293.exe /extract /silent`) 2. A VM Windows XP era iniciada com a pasta `C:\Users` do host montada como volume compartilhado 3. O ransomware executava **dentro da VM** e criptografava arquivos do host via o compartilhamento 4. O EDR do host - instrumentado no Windows 10 do host - não via as operações de arquivo maliciosas originadas dentro da VM XP 5. Do ponto de vista do host, apenas o VirtualBox estava em execução Esta técnica tornou muitos EDRs da época ineficazes, pois o processo malicioso não existia no espaço do processo do host. ### LoudMiner - Cryptominer via QEMU O [[loudminer|LoudMiner]] (também chamado de Bird Miner) foi descoberto em 2019 instalado em cracks de software de produção musical (plugins VST, DAWs pirated). Usava QEMU para criar VMs Linux leves que executavam mineradores de criptomoeda Monero (XMR). **Características notáveis:** - QEMU rodava em modo userspace - não requeria privilégios elevados - A VM Linux usava apenas ~200 MB de RAM e era configurada para limitar uso de CPU a 50-70% para não alertar o usuário - Dois LaunchDaemons no macOS garantiam que o QEMU e a VM reiniciassem automaticamente - O tráfego de mineração vinha do IP/MAC da VM, não do host - contornando bloqueios baseados em reputação de IP ### Maze - Compartilhamento de Arquivos via VM O grupo [[s0449-maze|Maze]] utilizou técnicas similares ao Ragnar Locker, com VMs para isolar a execução do ransomware. Em ataques a ambientes corporativos, o movimento lateral era facilitado pelo fato de a VM ter um adaptador de rede em modo bridge - recebendo um IP do DHCP corporativo - e poder acessar compartilhamentos de rede internos sem passar pelo EDR do host comprometido. ### Adversários em Ambientes ESXi Grupos como **UNC3886** e operadores de ransomware como **BlackBasta** e **ESXiArgs** têm explorado ambientes VMware ESXi diretamente. A técnica de criar VMs via `/bin/vmx` diretamente no servidor ESXi permite que VMs ocultas: - Não apareçam na interface do vCenter - Não sejam listadas por `vim-cmd vmsvc/getallvms` - Sobrevivam a reboots via `rc.local.d` --- ## Detecção ### Estrategias Gerais A detecção desta técnica requer monitoramento em múltiplas camadas, uma vez que a atividade maliciosa central ocorre **dentro** da VM: | Camada | O que Monitorar | Ferramenta | |--------|----------------|-----------| | Host - Processos | Execução de `VBoxHeadless.exe`, `vmware-vmx.exe`, `qemu-system-*.exe`, `vmwp.exe` | EDR, Sysmon | | Host - Rede | Tráfego de IPs não inventariados (VMs em bridge) | NDR, firewall | | Host - Arquivos | Criação de arquivos `.vmdk`, `.vhd`, `.qcow2`, `.ova`, `.wsb` | FIM, EDR | | Host - Serviços | Instalação de drivers VirtualBox/VMware (`VBoxDrv`, `vmci`) | Sysmon Event ID 6 | | ESXi | Comandos `/bin/vmx` não autorizados, modificações em `rc.local.d` | ESXi Syslog, vSphere Events | | Comportamental | Uso elevado de CPU/RAM sem processo host correspondente | SIEM, baselines | ### Regra Sigma - Execução de Hypervisor Suspeita ```yaml title: Suspicious Hypervisor Process Execution id: a3f9c821-4e7b-4f12-8d3a-bc4f9e120a77 status: experimental description: > Detecta execução de processos de hypervisor (VirtualBox, QEMU, VMware) em contextos suspeitos - fora de caminhos padrão de instalação ou por usuários comuns sem histórico de uso de virtualização. references: - https://attack.mitre.org/techniques/T1564/006/ - https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1564.006 logsource: category: process_creation product: windows detection: selection_vbox: Image|endswith: - '\VBoxHeadless.exe' - '\VBoxManage.exe' - '\VirtualBoxVM.exe' selection_vmware: Image|endswith: - '\vmware-vmx.exe' - '\vmrun.exe' selection_qemu: Image|contains: 'qemu-system' selection_suspicious_path: Image|contains: - '\Users\Public\' - '\Temp\' - '\AppData\Local\Temp\' - '\ProgramData\' condition: (selection_vbox or selection_vmware or selection_qemu) and selection_suspicious_path falsepositives: - Desenvolvedores executando VMs portáteis - Labs de segurança - Ambientes de CI/CD com testes em VM level: high ``` ### Regra Sigma - Arquivo .wsb Suspeito ```yaml title: Windows Sandbox Configuration File Created in Suspicious Path id: b7d2e943-8c1a-4b33-9f5d-ae7c2d891b44 status: experimental description: > Detecta criação de arquivos .wsb (Windows Sandbox configuration) em diretórios temporários ou de usuário, indicando possível abuso do Windows Sandbox para execução de payload isolado. references: - https://attack.mitre.org/techniques/T1564/006/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1564.006 logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: '.wsb' TargetFilename|contains: - '\Temp\' - '\Users\Public\' - '\ProgramData\' - '\AppData\Roaming\' condition: selection falsepositives: - Administradores criando sandboxes para testes legítimos level: medium ``` --- ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|-----------| | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar suporte a virtualização em workstations que não necessitam dela. Desabilitar Windows Sandbox via GPO (`Computer Configuration > Administrative Templates > Windows Components > Windows Sandbox`). Bloquear instalação de VirtualBox/VMware em endpoints não autorizados via allowlisting. | Alta | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente processos de virtualização em execução (`VBoxHeadless`, `vmware-vmx`, `qemu-system-*`). Em ambientes ESXi, verificar periodicamente VMs não listadas comparando `/bin/vim-cmd vmsvc/getallvms` com o inventário do vCenter. Inspecionar `rc.local.d` em hosts ESXi. | Alta | | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Usar application control (AppLocker, Windows Defender Application Control) para bloquear execução de binários de hypervisor fora de caminhos aprovados. Bloquear execução de `VBoxHeadless.exe`, `vmware-vmx.exe`, `qemu-system-*` para usuários não administradores. | Média | **Controles adicionais recomendados:** - Monitoramento de tráfego de rede: IPs não inventariados na rede corporativa indicam potencial VM em modo bridge - Análise de consumo de recursos: picos de CPU/RAM sem processo host correspondente podem indicar VM em execução - FIM (File Integrity Monitoring): detectar criação de imagens de VM (`.vmdk`, `.vhd`, `.qcow2`) em diretórios incomuns - Em ESXi: restringir acesso SSH e monitorar modificações em `/etc/rc.local.d/` --- ## Contexto Brasil/LATAM ### Ransomware e Virtualização no Brasil O Brasil é consistentemente um dos países mais afetados por ransomware na América Latina. Grupos que documentadamente utilizam técnicas de virtualização para evasão - incluindo **Ragnar Locker**, **Maze** e seus sucessores - operaram contra empresas brasileiras nos setores de manufatura, financeiro e governo. A técnica é especialmente relevante no contexto brasileiro porque: 1. **Adoção corporativa de virtualização:** Empresas brasileiras têm alta taxa de adoção de VMware vSphere e Hyper-V em seus data centers. Ambientes ESXi sem patch (ex: CVE-2021-21985, CVE-2021-21986) foram alvos frequentes de campanhas de ransomware entre 2021 e 2023. 2. **Endpoints com VirtualBox:** O VirtualBox da Oracle é amplamente instalado em ambientes de desenvolvimento e engenharia no Brasil, frequentemente sem controles de allowlisting. Isso reduz a fricção para adversários que já possuem acesso ao host. 3. **Grupos locais adotando TTPs avançados:** Grupos de crime cibernético financeiro brasileiros historicamente focados em fraude bancária - como aqueles associados à distribuição do [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]] - têm progressivamente adotado TTPs de evasão mais sofisticados observados em operações de ransomware internacionais. 4. **Infraestrutura ESXi exposta:** Scans do Shodan regularmente identificam servidores ESXi com acesso público no Brasil - frequentemente em provedores regionais de hospedagem e pequenas empresas - tornando ataques diretos à camada de virtualização uma superfície de ataque real. **Recomendação prioritária para LATAM:** Organizações que utilizam VMware ESXi devem válidar a consistência entre o inventário do vCenter e as VMs realmente em execução nos hosts, e monitorar modificações em `/etc/rc.local.d/` em todos os servidores ESXi. --- ## Referências - [MITRE ATT&CK - T1564.006](https://attack.mitre.org/techniques/T1564/006/) - [Sophos - Ragnar Locker ransomware deploys virtual machine to dodge security](https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/) - [ESET - LoudMiner: Cross-platform mining in cracked VST software](https://www.welivesecurity.com/2019/07/02/loudminer-mining-cracked-vst-software/) - [VMware - ESXi Security Configuration Guide](https://docs.vmware.com/en/VMware-vSphere/8.0/vsphere-security/GUID-E9B71B85-D9D3-4FAB-B6CE-E6F4E3ED5D8C.html) - [Microsoft - Windows Sandbox configuration](https://learn.microsoft.com/en-us/windows/security/application-security/application-isolation/windows-sandbox/windows-sandbox-configure-using-wsb-file) - [[s0481-ragnar-locker|Ragnar Locker]] - grupo que popularizou a técnica contra ransomware - [[loudminer|LoudMiner]] - cryptominer baseado em QEMU - [[s0449-maze|Maze]] - uso de VM para isolamento de ransomware - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - cryptomining frequentemente combinado - [[t1037-004-rc-scripts|T1037.004 - RC Scripts]] - persistência em ESXi via rc.local.d --- *Fonte: [MITRE ATT&CK - T1564.006](https://attack.mitre.org/techniques/T1564/006/)*