Virtual Machines : Virtuelle Verstecke und Hyper-Infiltration : Mikro-VMs und Hypervisors im Visier – wie Virtualisierung zum Angriffsraum wird
Virtualisierung verändert nicht nur den Betrieb moderner IT-Infrastrukturen, sondern zunehmend auch die Arbeitsweise von Angreifern. Ende 2025 dokumentierten Sicherheitsforscher, wie Angreifer kurzlebige Mikro-VMs systematisch zur Auslagerung zentraler Angriffslogiken nutzen. Parallel geraten Hypervisors selbst verstärkt ins Visier – mit dem Potenzial, ganze Umgebungen in einem Schritt lahmzulegen. Damit verschiebt sich die operative Ebene solcher Angriffe mit direkten Folgen für Erkennung, Analyse und Reaktion.
Die Idee, virtuelle Maschinen (VMs) zur Verschleierung von Angriffen zu nutzen, ist dabei nicht neu. Bereits seit 2016 wurde dokumentiert, dass Angreifer auf kompromittierten Systemen virtuelle Maschinen erstellen und wieder löschen, um ihre Aktivitäten vor hostzentrierter Überwachung durch Werkzeuge wie Sysmon oder klassische Endpoint-Detection-and-Response-Lösungen (EDR) zu verbergen [1].
Was sich seither verändert hat, ist die Konsequenz, mit der diese Technik eingesetzt wird, wie eine im November 2025 veröffentlichte Analyse zeigt [2]. Sicherheitsforscher beobachteten eine Bedrohungsaktivität, bei der Microsoft Hyper-V auf Windows-Systemen missbraucht wurde: Die Angreifer verfügten dabei bereits über administrative Zugriffsrechte und fanden eine aktivierbare Hypervisor-Rolle vor – zwei Voraussetzungen, ohne die ein solcher Angriff nicht umsetzbar ist. Sie nutzten diesen Zugang, um eine leichtgewichtige Alpine-Linux-VM zu installieren, in der sämtliche Schadwerkzeuge innerhalb einer isolierten Umgebung ausgeführt wurden.
Durch die Aktivierung der Hyper-V-Rolle und die gezielte Deaktivierung der Management-Schnittstellen schufen die Angreifer die technischen Voraussetzungen für ihren Ansatz. Anschließend betrieben sie eine VM mit lediglich wenigen hundert Megabyte Arbeitsspeicher und Speicherplatz, in der sie ihre benutzerdefinierte Reverse-Shell und ihr Reverse-Proxy vollständig vom HostBetriebssystem entkoppelten. Damit entzogen sie diese Komponenten den gängigen EDR-Mechanismen, allem voran verhaltens- und speicherbasierten Erkennungsverfahren. Diese Tarnung bezieht sich primär auf hostbasierte Prozess- und Speichertelemetrie – auf Hypervisor-, Netzwerk- und Ressourcenebene bleiben weiterhin Artefakte zurück, die jedoch in vielen Umgebungen nicht systematisch ausgewertet werden. Gleichzeitig erschien der gesamte ausgehende Netzwerkverkehr weiterhin als legitime Kommunikation von der bekannten IP-Adresse des Hosts.
Von Tarnung zu aktiver Nutzung
Taktisch betrachtet lassen sich Elemente dieser Entwicklung den Virtualisierungs- und Sandbox-EvasionTechniken des MITRE-ATT&CK-Frameworks zuordnen, ergänzt durch Techniken wie „Hide Artifacts: Run Virtual Instance“ (https://attack.mitre.org/techniques/ T1564/006/), bei denen eine virtuelle Instanz gezielt als Ausführungsumgebung genutzt wird. Demnach konzentriert sich klassische Virtualisierungs-Evasion darauf, Analyseumgebungen zu erkennen oder zu meiden, etwa durch das Prüfen auf typische Artefakte von VMs oder Sandboxes.
Der nunmehr beobachtete Ansatz geht jedoch darüber hinaus: Statt lediglich das eigene Verhalten an eine erkannte Virtualisierung anzupassen, nutzen Angreifer eine reale VM aktiv als Ausführungsumgebung, in der zentrale Schadfunktionen in einem sekundären, isolierten Betriebssystem laufen.
Diese Verlagerung in isolierte VMs eröffnet Angreifern ein breites Spektrum an Operationen: Anstatt Credential-Harvester, Reverse-Shells oder Commandand-Control-Relays direkt auf dem Host auszuführen, wo moderne EDR-Systeme Prozesse, Speicherzugriffe und API-Aufrufe überwachen, wandern diese Funktionen vollständig in ein Gastbetriebssystem, auf das der Host nur begrenzte Sicht hat. Da eine VM für den ausgehenden Datenverkehr über den Netzwerk-Stack des Hosts (etwa via NAT über den Default-Switch) kommuniziert, ohne dessen Prozess- oder Speicherstrukturen preiszugeben, verlieren hostbasierte Signale an Aussagekraft. Das Ergebnis: langfristige Präsenz im Netzwerk, gezielte Spionage und schrittweise Datenexfiltration – häufig über Wochen oder Monate hinweg unentdeckt.
Hypervisor als Angriffsziel
Neben der Nutzung virtueller Umgebungen als Ausführungsraum zeichnet sich eine zweite Entwicklung ab: Die Virtualisierungsinfrastruktur selbst rückt zunehmend in den Fokus von Angreifern. Ransomware-Gruppen wie LockBit haben gezeigt, warum Hypervisors und Virtualisierungshosts zu strategischen Angriffszielen werden: In dokumentierten Kampagnen gegen VMware-ESXi-Hosts [3] kompromittierten Angreifer nicht einzelne Gastbetriebssysteme, sondern den Hypervisor selbst. Dadurch konnten sie virtuelle Maschinen zentral abschalten, VM-Disk-Dateien direkt verschlüsseln, Snapshots deaktivieren und in einem einzigen Schritt weitreichende Störungen verursachen – unter Umgehung vieler Sicherheitskontrollen, die ausschließlich innerhalb der Gastbetriebssysteme greifen.
Auch wenn öffentlich bestätigte Berichte über gezielte Kampagnen gegen alternative Virtualisierungsplattformen bislang begrenzt sind, ist die übergeordnete Entwicklung klar erkennbar. Mit der zunehmenden Abkehr von etablierten Plattformen hin zu Open-SourceVirtualisierungsstacks verfolgen Angreifer weniger eine plattformspezifische Strategie als vielmehr ein wirkungsorientiertes Ziel: die Kontrolle über den Virtualisierungshost zu erlangen, um sämtliche darauf betriebenen Workloads gleichzeitig zu beeinflussen.
Heterogene Umgebungen, homogene Risiken
Mit der zunehmenden Vielfalt an Virtualisierungstechnik wächst auch die Komplexität der Absicherung. Migrationen hin zu alternativen oder offenen Plattformen erfolgen häufig aus strategischen oder wirtschaftlichen Gründen – operativ werden dabei jedoch nicht immer dieselben Reifegrade erreicht, die in etablierten Umgebungen über Jahre gewachsen sind. Das Risiko ist daher weniger an eine bestimmte Plattform gebunden als an den Grad der operativen Exponierung.
So weisen Plattformen wie Proxmox vergleichbare Risikoprofile wie etablierte Lösungen auf, sofern Betriebs- und Härtungsdefizite bestehen – etwa exponierte Management-Schnittstellen, unzureichende Zugriffskontrollen, inkonsistente Härtung oder unklare Rollenmodelle. Solche Defizite ermöglichen Angreifern den Zugriff auf die Virtualisierungsebene und machen es wahrscheinlicher, dass sie ihre etablierten Muster über Plattformgrenzen hinweg übertragen.
Ansätze für die Verteidigung
Angesichts dieser Entwicklungen wird deutlich, dass der Schutz von VMs allein nicht mehr ausreicht. Ein einzelner erfolgreicher Angriff auf einen Hypervisor kann schließlich unmittelbare Auswirkungen auf eine große Zahl von Systemen haben und zu umfassenden Service-Ausfällen oder Datenverlust führen. Sicherheitsverantwortliche stehen damit vor der Aufgabe, ihre Schutzkonzepte auf mehreren Ebenen anzupassen.
Transparenz schaffen und Baselines etablieren
Ausgangspunkt ist die Schaffung von Transparenz: Wo wird Virtualisierung im eigenen Umfeld legitim genutzt? Auf dieser Grundlage lassen sich Baselines etablieren. Abweichungen wie die unerwartete Aktivierung von Hypervisor-Rollen, die Erstellung kurzlebiger VMs oder ungeklärte Ressourcennutzung auf Systemen, die nicht für Virtualisierungs-Workloads vorgesehen sind, gewinnen dann sicherheitsrelevante Bedeutung.
Konkret sollten Sicherheitsteams auf folgende Indikatoren achten:
- unerwartete Aktivierung von Hyper-V über Deployment-Image-Servicing-and-Management-(DISM)- Befehle,
- auffällige Local-Security-Authority-Server-Service- (LSASS)-Zugriffe im Rahmen begleitender Aktivitäten wie Credential-Access oder lateraler Bewegung sowie
- PowerShell-Skripte, die über Gruppenrichtlinien verteilt werden und lokale Konten anlegen oder deren Passwörter zurücksetzen.
Besondere Aufmerksamkeit verdient auch die Erstellung von VMs mit unverdächtig erscheinenden Namen – im dokumentierten Hyper-V-Angriff von 2025 etwa „WSL“, eine Anspielung auf das „Windows Subsystem for Linux“, obwohl es sich um eine vollständig isolierte Hyper-V-Instanz handelte.
Hypervisors als Tier-0-Komponenten behandeln
Zusätzlich sind Hypervisors und ihre Management-Interfaces als Tier-0-Komponenten zu behandeln. Dazu gehören eine strikte Netzwerksegmentierung, starke Authentifizierung, konsistente Härtungsstandards sowie kontinuierliche Überwachung – besonders mit Blick auf destruktive administrative Aktionen auf Host-Ebene. Ergänzend sollte man unveränderliche Backups außerhalb der Virtualisierungsinfrastruktur bereithalten.
Telemetrie korrelieren und Sichtbarkeit erweitern
Ebenso wichtig ist eine erweiterte Sichtbarkeit: Verteidiger müssen Telemetrie aus verschiedenen Ebenen einbeziehen und miteinander korrelieren – gerade auch aus Hypervisor-Logs, Control-Plane-Ereignissen, Identitäts- und Berechtigungsnutzung sowie Netzwerkflüssen. Nur so lassen sich Aktivitäten erkennen, die bewusst den Prozess- und Speicherraum des Hosts meiden.
Ohne diese erweiterte Perspektive können Angreifer, die vollständig innerhalb von Gastbetriebssystemen operieren, klassische EDR-Kontrollen weiterhin mit minimalem forensischem Fußabdruck umgehen. EDR-Lösungen wiederum sollten daher durch die Auswertung von Netzwerktelemetrie auf Host- oder Infrastrukturebene ergänzt werden, um C2-Verkehr zu erkennen, der aus einer VM austritt. Zusätzlich empfiehlt sich der Einsatz proaktiver Härtungswerkzeuge, die den Missbrauch nativer Systemwerkzeuge (Living-off-the-Land-Binaries – LOTL) wie DISM oder PowerShell von vornherein einschränken (vgl. [4]).
Fazit
Die hier beschriebenen Beobachtungen stellen keine isolierten Einzelfälle dar, sondern bilden zwei sich ergänzende Entwicklungen ab: die Nutzung virtueller Umgebungen als operativer Ausführungsraum für Angriffe sowie die zunehmende Fokussierung auf die Virtualisierungsebene selbst als strategisches Angriffsziel.
Diese beiden Trends verschieben klassische Annahmen zur Angriffserkennung und verdeutlichen, dass Virtualisierung künftig nicht nur als Betriebs-, sondern auch als Sicherheitsarchitektur neu gedacht werden muss.
Santiago Pontiroli ist Threat Intelligence Lead (TRU) bei Acronis.
Literatur
[1] Sophos Counter Threat Unit Research Team, Virtual Machines Used to Hide Activity?, Adversaries could use virtual machines to remove evidence of activity, Research Blog, August 2016, www.sophos.com/en-us/blog/virtual-machines-used-to-hide-activity
[2] Victor Vrabie, Curly COMrades: Evasion and Persistence via Hidden Hyper-V Virtual Machines, Bitdefender Business Insights, November 2025, https://businessinsights.bitdefender.com/curly-comrades-evasion-persistence-hidden-hyper-v-virtual-machines
[3] Sarah Pearl Camiling, Jacob Santos, New LockBit 5.0 Targets Windows, Linux, ESXi, Trend Micro Business Research, September 2025, www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html
[4] Lucian Constantin, Russian APT abuses Windows Hyper-V for persistence and malware execution, CSO online, November 2025, www.csoonline.com/article/4085272/russian-apt-abuses-windows-hyperv-for-persistence-and-malware-execution.html