ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1062

术语表: /attack/glossary

Hypervisor

类型-1 Hypervisor 是位于客户操作系统和系统硬件之间的软件层。它为操作系统提供了一个虚拟的运行环境。常见 hypervisor 的例子是 Xen。 类型-1 hypervisor 的操作级别低于操作系统,设计时可添加 Rootkit 功能,以向客户操作系统隐藏它的存在。 该类型的恶意 hypervisor 可以通过中断在系统上实现持久化。

缓解

防止攻击者访问安装 hypervisor 所需的特权帐户。

检测

类型-1 hypervisor 可以通过执行定时分析来检测。Hypervisor 模拟某些通常由硬件执行的 CPU 指令。如果一条指令在不应该包含 hypervisor 的系统上执行的时间比正常时间长几个数量级,则可能存在 hypervisor。