Ana makinem virüs bulaşmış bir sanal makineden tamamen izole edildi mi?

52

VMWare veya VirtualBox (veya başka bir şey) kullanan bir Windows 7 ana bilgisayarında Windows 7 sanal makinesi çalıştırıyorsam ve sanal makine virüs ve diğer kötü amaçlı yazılımlarla tamamen aşırı yükleniyorsa, ana makinem için endişelenmeli miyim?

Ana makinede bir virüsten koruma programı varsa, herhangi bir sorun algılar mı?

windows  security  virtual-machine  anti-virus  virus 
Diogo
kaynak

Yanıtlar:

57

Şimdiye kadar cevaplanan her cevap, ağ bağlantılarından ve dosya paylaşımından ziyade daha fazla saldırı vektörünün olduğu, ancak sanal bir makinenin diğer kısımlarında, özellikle de donanıma ilişkin olarak. Buna güzel bir örnek aşağıda gösterilmiştir (ref. 2), misafir bir işletim sisteminin öykünmüş sanal COM bağlantı noktasını kullanarak VMware kabından çıkabileceği yer.

Neredeyse tüm modern işlemcilerde yaygın olarak bulunan ve bazen varsayılan olarak etkinleştirilen başka bir saldırı vektörü, x86 sanallaştırmadır . Bir VM'de ağ bağlantısının etkin olmasının en büyük güvenlik riski olduğunu (ve gerçekten de göz önünde bulundurulması gereken bir risk olduğunu) iddia edersiniz, ancak bu yalnızca virüslerin bir ağ üzerinden diğer bilgisayarlara nasıl aktarıldığını önler. Anti-virüs ve güvenlik duvarı yazılımınız bunun için kullanılır. Söyleniyor ki...

Aslında sanal makinelerinin "patlak" olabilir virüslerin salgınları yaşanmıştır gelmiştir (referanslar 1 ve detayları / örnekler için aşağıdaki 2 bakınız) geçmişte belgelenmiştir. Tartışmalı bir çözüm, x86 sanallaştırmayı devre dışı bırakmak (ve sanal makineyi çalıştıran performansı düşürmek) olsa da, herhangi bir modern (iyi) virüsten koruma yazılımı , sizi bu virüslerden sınırlı bir nedenle koruyabilmelidir. DEP bileBir dereceye kadar koruma sağlayacak, ancak virüsün gerçek işletim sisteminizde (VM'de değil) yürütüleceği zaman hiçbir şey olmayacak. Yine, aşağıdaki referanslara dikkat ederek, kötü amaçlı yazılımın ağ bağdaştırıcıları veya talimat sanallaştırma / çevirme (örneğin, sanal COM portları veya diğer taklit donanım sürücüleri) dışında bir sanal makineden kopabileceği başka birçok yol vardır.

Daha geçenlerde eklenmesidir I / O MMU'yu Sanallaştırma getirebilecek en yeni işlemciler, için DMA . Bir bilgisayar bilimcisine, virüs doğrudan belleğe ve donanım erişimine sahip bir sanal makineye, doğrudan CPU'da kod çalıştırmanın yanı sıra izin verme riskini de görmesi gerekmez.

Bu cevabı basit bir şekilde sunuyorum çünkü diğerlerinin hepsi sadece dosyalardan korunmanız gerektiğine inanmanıza izin veriyor, ancak virüs kodunun doğrudan işlemciniz üzerinde çalışmasına izin vermek bence çok daha büyük bir risk. Bazı anakartlar bu özellikleri varsayılan olarak devre dışı bırakır, ancak bazıları kullanmaz. Bu riskleri azaltmanın en iyi yolu, gerçekten gerekmedikçe sanallaştırmayı devre dışı bırakmaktır. Gerek duyup duymadığınızdan emin değilseniz, devre dışı bırakın .

Bazı virüslerin sanal makine yazılımınızdaki güvenlik açıklarını hedefleyebileceği doğru olsa da, özellikle ek ana bilgisayar emülasyonu gerektiren işlemci veya donanım sanallaştırmasını dikkate aldığınızda bu tehditlerin ciddiyeti büyük ölçüde artar.

  1. Sanallaştırılmış x86 talimatları Themida tarafından nasıl kurtarılır (Zhenxiang Jim Wang, Microsoft)

  2. VMware Workstation'dan COM1'den Kaçış (Kostya Kortchinsky, Google Güvenlik Ekibi)

cp2141
kaynak
2
Teşekkürler, şimdiye kadarki en iyi ve en eksiksiz kıyafeti elde ettiniz (konuyla ilgili referanslar ve bazı teori temelleri içerir). Teşekkür ederim.
Diogo
4
"Geçmişte belgelenmiştir" metninden bağlantı verilen makale bir VM'den ayrılmakla ilgili değildir . (Kötü amaçlı yazılımların gizliliği için x86 sanallaştırması ve bunun tersine mühendisliği hakkında)
Hugh Allen
@HughAllen sadece makaleyi okudu ve aynı şeyi yorumlayacaktı. Tam olarak cevaplayıcının neden bahsettiğini bildiğine güven uyandırmıyor, değil mi?
developerbmw
@HughAllen Bu sorunların gerçekten gerçek olduğunu göstermek için yeni bir örnek ekledim. Bu durumda, istismar özellikle VMWare ile ilgilidir, ancak çeşitli güvenlik web sitelerinde diğer açıklamaları kolayca bulabilirsiniz.
Atılım
@ Brett OP, tercüman / çevirmenin kendisinin hangi talimatların ana bilgisayar tarafından yürütülmekte olduğunu manipüle etmek için kötüye kullanılabileceğini göstermek için görselleştirme makalesinden bahsettiğini düşünüyorum. Ayrıca notun, makalenin tamamının değil, yalnızca makalenin kendisinin bir özeti / özeti olduğunu unutmayın. Tam sürümünü bulamıyorum, ancak bir kopyasını bulmayı başarırsam buraya gönderir.
Atılım
17

Paylaşılan klasörler kullanıyorsanız veya VM ile ana bilgisayar arasında herhangi bir ağ etkileşimi varsa, o zaman endişelenmeniz gereken bir şey var. Potansiyel olarak, kötü niyetli kodun gerçekte ne yaptığına bağlı olduğunu söylüyorum.

Paylaşılan klasörleri kullanmıyorsanız ve herhangi bir tür ağ etkin değilse etkin olmalısınız.

Ana makinenizdeki anti-virüs, paylaşılan şeyler olmadıkça VM'nizde herhangi bir tarama yapmaz.

squillman
kaynak
1
Ben anti-virüs o ana, bulaştırmak için çıkış yolumuz yapılmış bir şey tespit olsaydı OP soruyordu düşünüyorum bu durumda, bu should (o AV algılayabilir şey ise). İzole edilirse güvenli olduğu için, kesinlikle bir VM içinde olduğunu saptayabilecek bir yazılım var (VM'nin bir araç için araçları, aynı zamanda “redpill vm” ifadesini arayın) ve atlayabilecek bir çalışma (ve muhtemelen gerçek kötü amaçlı yazılım) VM'den ("bluepill vm" konusuna bakın).
Synetech
7
Bu doğru olsa da, x86 sanallaştırma etkin olduğunda ne olduğunu unuttun. Sanal makinenizden bu şekilde ayrılabilen, VM'de yüklü bir ağ denetleyicisinin olup olmadığına bakılmaksızın var olan virüsler vardır.
cp2141
Ayrıca, sanal makinelerin sadece ağ bağlantılarından (örn . Öykünmüş sanal COM bağlantı noktasından VM'den kopma) çok daha fazla öykünme / sanallaştırma yaptıkları ve ana sistemi denetlemeye çalışmak için daha fazla vektör sağladıkları belirtilmelidir.
Atılım
7

VM, VM Yazılımını VMWare Araçları gibi sömürmeyi hedefleyen bir virüs bulaşmışsa, bu durum ortaya çıkabilir, ancak şu anda bunu yapabilen bir şey olduğunu sanmıyorum. Ayrıca, sunucu savunmasız ise, ana bilgisayardan ağ üzerinden yararlanabilir.

Ana sistemdeki antivirüs, paylaşılan bir klasörde oturmadıkça, VM'de virüs görmemelidir.

Riguez
kaynak
4
Bunu yapmak için etrafta yüzen bir avuç açılım vardır. Kişi yalnızca VMware Security Advisories'i kazıp bir kaç tane bulabilir: vmware.com/security/advisories Diğer üreticilerin de sorunları var.
Brad
@Brad, Manzara çok küçük. Elbette VMware'e özgü virüsler olacaktı, bütün pastayı kendilerine alarak onu istiyorlar.
Pacerier
1

İyi olmalı, sadece dosya paylaşımına erişimi kapatın ve ilk enfeksiyon döneminden sonra Sanal Makine içindeki nic'i öldürün.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.