Чи мій хост-апарат повністю ізольований від зараженої вірусом віртуальної машини?

52

Якщо я запускаю віртуальну машину Windows 7 на хості Windows 7 за допомогою VMWare або VirtualBox (або будь-чого іншого) і віртуальна машина повністю перевантажена вірусами та іншим шкідливим програмним забезпеченням, чи варто хвилюватися про свою хост-машину?

Якщо у мене на хост-машині є антивірусна програма, чи виявить це проблеми?

windows  security  virtual-machine  anti-virus  virus 
Діого
джерело

Відповіді:

57

Кожна відповідь пропущена дотепер - це те, що є більше векторів атаки, ніж просто мережеві з'єднання та обмін файлами, але з усіма іншими частинами віртуальної машини, особливо що стосується віртуалізації обладнання. Хороший приклад цього показано нижче (посилання 2), коли гостьова ОС може вирватися з контейнера VMware за допомогою емуляції віртуального порту COM.

Інший вектор атаки, який зазвичай включається, а іноді і використовується за замовчуванням, майже на всіх сучасних процесорах, - це віртуалізація x86 . Хоча ви можете стверджувати, що ввімкнення мереж у VM - це найбільший ризик безпеки (і справді це ризик, який потрібно враховувати), це лише перешкоджає вірусам передаватись, як вони передаються на будь-який інший комп'ютер - по мережі. Для цього використовується ваше антивірусне та брандмауер. Це сумно...

Там були спалахи вірусів , які на насправді можуть «вирватися» з віртуальних машин, які вже були задокументовані в минулому (посилання 1 і 2 нижче для деталей / прикладів). Хоча спірним рішенням є відключення віртуалізації x86 (і прийняття хіта на продуктивність під керуванням віртуальної машини), будь-яке сучасне (гідне) антивірусне програмне забезпечення повинне бути в змозі захистити вас від цих вірусів в обмеженій причині. Навіть DEPбуде забезпечувати захист певною мірою, але не більше того, коли вірус буде виконуватись у вашій фактичній ОС (а не в VM). Знову ж таки, відзначаючи наведені нижче посилання, існує багато інших способів, як зловмисне програмне забезпечення може вирватися з віртуальної машини, окрім мережевих адаптерів або віртуалізації / перекладу інструкцій (наприклад, віртуальні порти COM чи інші емуляційні драйвери обладнання).

Ще зовсім недавно - додавання MMU Virtualization до більшості нових процесорів, що дозволяє DMA . Комп'ютерному науковцю не потрібно бачити ризик дозволити віртуальній машині з прямою пам’яттю вірусом та апаратним доступом, окрім можливості безпосередньо запускати код на процесорі.

Я представляю цю відповідь просто тому, що всі інші змушують вас вважати, що вам просто потрібно захистити себе від файлів , але дозволяти вірусовому коду безпосередньо працювати на вашому процесорі - на мою думку, набагато більший ризик. Деякі материнські плати відключають ці функції за замовчуванням, а деякі ні. Найкращий спосіб пом'якшити ці ризики - відключити віртуалізацію, якщо вам це фактично не потрібно. Якщо ви не впевнені, вам це потрібно чи ні, відключіть його .

Незважаючи на те, що деякі віруси можуть орієнтуватися на вразливості у вашому програмному забезпеченні віртуальної машини, серйозність цих загроз різко зростає при врахуванні віртуалізації процесора або обладнання, особливо тих, що потребують додаткової емуляції на стороні хоста.

  1. Як відновити віртуалізовані інструкції x86 від Themida (Zhenxiang Jim Wang, Microsoft)

  2. Вихід з робочої станції VMware через COM1 (Костя Кортчинський, Команда з безпеки Google)

cp2141
джерело
2
Дякую, ви отримали найкращий та найповніший одяг досі (який включає посилання та деяку теоретичну базу щодо цього предмета). Дякую.
Діого
4
Стаття, пов’язана з текстом "була задокументована в минулому", не має нічого спільного з виривом з VM . (мова йде про віртуалізацію x86 для обтурації зловмисного програмного забезпечення та зворотну інженерію такої)
Х'ю Аллен
@HughAllen просто прочитав статтю і збирався прокоментувати саме те саме. Чи точно не вселяє впевненість, що відповідач знає, про що він / вона говорить?
developerbmw
@HughAllen Я додав новий приклад, щоб показати, що ці проблеми справді реальні. У цьому випадку експлуатування стосується конкретно VMWare, але ви можете легко знайти інші розкриття інформації на різних веб-сайтах із безпеки.
Прорив
@Brett Я думаю, що ОП згадала статтю про візуалізацію, щоб показати, що сам перекладач / перекладач може зловживати маніпулювати тим, які інструкції виконуються на стороні хоста. Також зауважте, що це лише конспект / підсумок самої статті, а не повна стаття. Я не можу знайти повну версію, але опублікую тут, якщо мені вдасться знайти копію.
Прорив
17

Якщо ви використовуєте загальнодоступні папки або маєте будь-яку мережеву взаємодію між VM та хостом, то у вас є про що може потурбуватися. Потенційно я маю на увазі, що це залежить від того, що насправді робить зловмисний код.

Якщо ви не використовуєте загальнодоступні папки і не маєте жодної роботи в мережі, вам слід добре.

Антивірус на вашій хост-машині не здійснюватиме будь-якого виду сканування у вашому VM, якщо ви не поділитеся речами.

шквал
джерело
1
Я думаю, що ОП запитував, чи не виявить антивірус що-небудь, що змусило заразити хоста, і в такому випадку це повинно (якщо це може виявити AV). Щодо безпечності, якщо вона ізольована, напевно є програмне забезпечення, яке може виявити, що знаходиться всередині VM (інструменти VM для одного, а також шукати «redpill vm»), і є робота (і, можливо, фактична зловмисна програма на сьогоднішній день), яка може перейти з VM (шукайте “bluepill vm”).
Synetech
7
Хоча це правда, ви забули про те, що відбувається, коли увімкнена віртуалізація x86. Існують віруси, які можуть вирватися з вашої віртуальної машини таким чином, незалежно від того, у вас навіть встановлений мережевий контролер, встановлений на VM.
cp2141
Слід також зазначити, що віртуальні машини роблять набагато більше емуляції / віртуалізації, ніж просто мережеві з'єднання (наприклад, прорив VM через емільований віртуальний COM-порт ), забезпечуючи набагато більше векторів для спроби керувати хост-системою.
Прорив
7

Якщо VM заражений вірусом, націленим на використання програмного забезпечення VM, наприклад VMWare Tools, це могло б вийти, але я зараз не думаю, що все на це здатне. Він також може експлуатувати хост через мережу, якщо хост вразливий.

Антивірус у хост-системі не повинен бачити віруси у віртуальній машині, якщо вони не сидять у загальній папці.

Riguez
джерело
4
Навколо плаває декілька подвигів, які роблять це. Можна поодинці прокопатись до довідок щодо безпеки VMware і знайти декілька: vmware.com/security/advisories У інших постачальників також є проблеми.
Бред
@Brad, Пейзаж занадто малий. Звичайно, були б специфічні для VMware віруси, вони просять це, беручи весь пиріг до себе.
Pacerier
1

Має бути добре, просто вимкніть доступ до спільного використання файлів і вбийте нік всередині VM після початкового періоду зараження.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.