Czy moja maszyna hosta jest całkowicie odizolowana od zainfekowanej maszyny wirtualnej?

52

Jeśli korzystam z maszyny wirtualnej z systemem Windows 7 na hoście z systemem Windows 7 za pomocą VMWare lub VirtualBox (lub czegokolwiek innego), a maszyna wirtualna jest całkowicie przepełniona wirusami i innym złośliwym oprogramowaniem, czy powinienem martwić się o moją maszynę hosta?

Jeśli mam program antywirusowy na komputerze hosta, czy wykryje on jakieś problemy?

Diogo
źródło

Odpowiedzi:

57

Do tej pory brakowało odpowiedzi, że istnieje więcej wektorów ataku niż tylko połączenia sieciowe i udostępnianie plików, ale wszystkie pozostałe części maszyny wirtualnej - szczególnie w odniesieniu do sprzętu do wirtualizacji. Dobry przykład tego pokazano poniżej (ref. 2), gdzie system operacyjny gościa może wyrwać się z kontenera VMware przy użyciu emulowanego wirtualnego portu COM.

Innym wektorem ataku, zwykle dołączanym i czasami włączanym domyślnie na prawie wszystkich współczesnych procesorach, jest wirtualizacja x86 . Chociaż można argumentować, że włączenie sieci na maszynie wirtualnej jest największym zagrożeniem dla bezpieczeństwa (i rzeczywiście jest to ryzyko, które należy wziąć pod uwagę), powstrzymuje to jedynie przenoszenie wirusów w sposób, w jaki są one przesyłane na każdym innym komputerze - przez sieć. Do tego służy twoje oprogramowanie antywirusowe i zapora ogniowa. Biorąc to pod uwagę ...

Były ogniska wirusów, które mogą rzeczywiście „wyrwania się” z maszyn wirtualnych, które nie zostały udokumentowane w przeszłości (patrz odnośniki 1 i 2 poniżej na szczegóły / przykładów). Chociaż spornym rozwiązaniem jest wyłączenie wirtualizacji x86 (i obniżenie wydajności działania maszyny wirtualnej), każde nowoczesne (przyzwoite) oprogramowanie antywirusowe powinno być w stanie chronić cię przed tymi wirusami z ograniczonego powodu. Nawet DEPzapewni do pewnego stopnia ochronę, ale nic poza tym, kiedy wirus zostanie wykonany w twoim systemie operacyjnym (a nie na maszynie wirtualnej). Ponownie, zwracając uwagę na poniższe odniesienia, istnieje wiele innych sposobów, w jakie złośliwe oprogramowanie może wydostać się z maszyny wirtualnej, poza kartami sieciowymi lub wirtualizacją / tłumaczeniem instrukcji (np. Wirtualne porty COM lub inne emulowane sterowniki sprzętowe).

Jeszcze niedawno dodano wirtualizację I / O MMU do większości nowych procesorów, co pozwala na DMA . Informatyk nie musi dostrzegać ryzyka umożliwienia maszynie wirtualnej z bezpośrednim dostępem do pamięci i sprzętu pod kątem wirusów, oprócz możliwości uruchamiania kodu bezpośrednio na procesorze.

Przedstawiam tę odpowiedź po prostu dlatego, że wszystkie pozostałe sugerują, że musisz się chronić przed plikami , ale moim zdaniem umożliwienie bezpośredniego uruchamiania kodu wirusa na procesorze jest znacznie większe. Niektóre płyty główne domyślnie wyłączają te funkcje, ale niektóre nie. Najlepszym sposobem na ograniczenie tego ryzyka jest wyłączenie wirtualizacji, chyba że faktycznie jej potrzebujesz. Jeśli nie masz pewności, czy jest to potrzebne, czy nie, wyłącz je .

Chociaż prawdą jest, że niektóre wirusy mogą atakować luki w zabezpieczeniach oprogramowania maszyny wirtualnej, istotność tych zagrożeń jest drastycznie zwiększona, jeśli weźmie się pod uwagę wirtualizację procesorów lub sprzętu, szczególnie te, które wymagają dodatkowej emulacji po stronie hosta.


  1. Jak odzyskać zwirtualizowane instrukcje x86 autorstwa Themida (Zhenxiang Jim Wang, Microsoft)

  2. Ucieczka ze stacji roboczej VMware przez COM1 (Kostya Kortchinsky, zespół bezpieczeństwa Google)

CP2141
źródło
2
Dzięki, masz najlepsze i najbardziej kompletne odpowiedzi do tej pory (w tym referencje i podstawy teoretyczne na ten temat). Dziękuję Ci.
Diogo,
4
Artykuł powiązany z tekstem „został udokumentowany w przeszłości” nie ma nic wspólnego z wyrwaniem się z maszyny wirtualnej . (chodzi o wirtualizację x86 w celu zaciemnienia złośliwego oprogramowania i jego inżynierii wstecznej)
Hugh Allen
@HughAllen właśnie przeczytał artykuł i zamierzał skomentować dokładnie to samo. Czy to nie do końca budzi pewność, że osoba odpowiadająca wie, o czym mówi, prawda?
developerbmw
@HughAllen Dodałem nowy przykład, aby pokazać, że te problemy są rzeczywiście prawdziwe. W tym przypadku exploit dotyczy konkretnie VMWare, ale można łatwo znaleźć inne ujawnienia na różnych stronach bezpieczeństwa.
Przełom
@Brett Myślę, że OP wspomniał o artykule na temat wizualizacji, aby pokazać, że sam tłumacz / tłumacz może zostać wykorzystany do manipulowania instrukcjami wykonywanymi po stronie hosta. Zauważ też, że to tylko streszczenie / streszczenie samego artykułu, a nie pełny artykuł. Nie mogę znaleźć pełnej wersji, ale opublikuję tutaj, jeśli uda mi się znaleźć kopię.
Przełom
17

Jeśli korzystasz z folderów współdzielonych lub masz jakąkolwiek interakcję sieciową między maszyną wirtualną a hostem, możesz się martwić. Przez potencjalnie rozumiem, że zależy to od tego, co faktycznie robi złośliwy kod.

Jeśli nie korzystasz z folderów współdzielonych i nie masz włączonej sieci, powinieneś mieć się dobrze.

Program antywirusowy na komputerze hosta nie wykona żadnego skanowania na maszynie wirtualnej, chyba że masz udostępnione rzeczy.

squillman
źródło
1
Myślę, że OP pytał, czy antywirus wykryłby cokolwiek, co pozwoliło zainfekować hosta, w takim przypadku powinien (jeśli jest to coś, co AV może wykryć). Jeśli chodzi o bezpieczeństwo, jeśli jest izolowane, z pewnością istnieje oprogramowanie, które może wykryć bycie wewnątrz maszyny wirtualnej (narzędzia maszyny wirtualnej dla jednego, ale także wyszukać „redpill vm”), i jest praca (i możliwe, że jest to teraz złośliwe oprogramowanie), która może skakać z maszyny wirtualnej (wyszukaj „bluepill vm”).
Synetech
7
Chociaż jest to prawda, zapomniałeś o tym, co się stanie, gdy masz włączoną wirtualizację x86. Istnieją wirusy, które mogą w ten sposób wydostać się z maszyny wirtualnej, niezależnie od tego, czy na maszynie wirtualnej jest zainstalowany kontroler sieci.
cp2141
Należy również zauważyć, że maszyny wirtualne wykonują znacznie więcej emulacji / wirtualizacji niż tylko połączenia sieciowe (np. Wyłamują się z maszyny wirtualnej przez emulowany wirtualny port COM ), zapewniając znacznie więcej wektorów do próby sterowania systemem hosta.
Przełom
7

Jeśli maszyna wirtualna jest zainfekowana wirusem, który ma na celu wykorzystanie oprogramowania VM, takiego jak VMWare Tools, może się wydostać, ale nie sądzę, aby coś w tym momencie było w stanie. Może także wykorzystać hosta przez sieć, jeśli jest on podatny na ataki.

Antywirus w systemie hosta nie powinien widzieć wirusów na maszynie wirtualnej, chyba że znajdują się w folderze współdzielonym.

Riguez
źródło
4
Istnieje kilka exploitów, które to robią. Można przejrzeć same VMware Security Advisories i znaleźć kilka: vmware.com/security/advisories Inni dostawcy również mają problemy.
Brad
@Brad, Krajobraz jest zdecydowanie za mały. Oczywiście byłyby wirusy specyficzne dla VMware, proszą o to, zabierając całe ciasto dla siebie.
Pacerier
1

Powinno być w porządku, po prostu wyłącz dostęp do udostępniania plików i zabij nic w maszynie wirtualnej po początkowym okresie infekcji.


źródło