เครื่องโฮสต์ของฉันแยกได้จากเครื่องเสมือนที่ติดไวรัสหรือไม่


52

หากฉันใช้เครื่องเสมือน Windows 7 บนโฮสต์ Windows 7 โดยใช้ VMWare หรือ VirtualBox (หรืออะไรก็ได้) และเครื่องเสมือนนั้นเต็มไปด้วยไวรัสและซอฟต์แวร์ที่เป็นอันตรายอื่น ๆ ฉันควรกังวลเกี่ยวกับเครื่องโฮสต์ของฉันหรือไม่

หากฉันมีโปรแกรมป้องกันไวรัสบนเครื่องโฮสต์จะตรวจพบปัญหาใด ๆ

คำตอบ:


57

สิ่งที่ทุกคำตอบพลาดไปก็คือมีการโจมตีเวกเตอร์มากกว่าแค่การเชื่อมต่อเครือข่ายและการแชร์ไฟล์ แต่ด้วยส่วนอื่น ๆ ทั้งหมดของเครื่องเสมือน - โดยเฉพาะอย่างยิ่งเกี่ยวกับฮาร์ดแวร์เสมือนจริง ตัวอย่างที่ดีของสิ่งนี้แสดงอยู่ด้านล่าง (อ้างอิง 2) ซึ่งแขกระบบปฏิบัติการสามารถแตกออกจากคอนเทนเนอร์ VMware โดยใช้พอร์ต COM เสมือนจริง

การโจมตีอีกรวมทั่วไปและเปิดใช้งานโดยค่าเริ่มต้นในเกือบทุกโปรเซสเซอร์ที่ทันสมัยบางครั้งคือการทำงานแบบเสมือน x86 ในขณะที่คุณสามารถยืนยันได้ว่าการเปิดใช้งานเครือข่ายบน VM เป็นความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุด (และแน่นอนว่ามันเป็นความเสี่ยงที่ต้องพิจารณา) สิ่งนี้จะป้องกันไวรัสไม่ให้ถูกส่งผ่านวิธีที่ถูกส่งผ่านคอมพิวเตอร์ทุกเครื่องผ่านเครือข่าย นี่คือสิ่งที่ซอฟต์แวร์ป้องกันไวรัสและไฟร์วอลล์ของคุณใช้สำหรับ ที่ถูกกล่าวว่า ...

มีการระบาดของไวรัสซึ่งสามารถ "แยกย่อย" ของเครื่องเสมือนจริงซึ่งได้รับการบันทึกไว้ในอดีต (ดูการอ้างอิง 1 และ 2 ด้านล่างสำหรับรายละเอียด / ตัวอย่าง) ในขณะที่โซลูชันที่พิสูจน์ได้คือการปิดใช้งานการจำลองเสมือน x86 (และใช้ประสิทธิภาพการทำงานที่เรียกใช้บนเครื่องเสมือน) แต่ซอฟต์แวร์ป้องกันไวรัสที่ทันสมัย ​​(ดี) ใด ๆควรจะสามารถป้องกันคุณจากไวรัสเหล่านี้ด้วยเหตุผลที่ จำกัด แม้แต่DEPจะให้ความคุ้มครองในระดับหนึ่ง แต่จะไม่มีอะไรเกิดขึ้นอีกแล้วเมื่อไวรัสจะถูกดำเนินการในระบบปฏิบัติการจริงของคุณ (และไม่ใช่ใน VM) อีกครั้งที่สังเกตการอ้างอิงด้านล่างมีวิธีอื่น ๆ อีกมากมายที่มัลแวร์สามารถแยกออกจากเครื่องเสมือนนอกเหนือจากอะแดปเตอร์เครือข่ายหรือการจำลองเสมือนคำสั่ง / การแปล (เช่นพอร์ต COM เสมือนหรือไดรเวอร์ฮาร์ดแวร์อื่น ๆ ที่จำลอง)

มากยิ่งขึ้นเมื่อเร็ว ๆ นี้คือการเพิ่มของI / O MMU Virtualizationโปรเซสเซอร์ใหม่มากที่สุดซึ่งจะช่วยให้DMA นักวิทยาศาสตร์คอมพิวเตอร์ไม่เห็นความเสี่ยงในการอนุญาตให้เครื่องเสมือนที่มีหน่วยความจำโดยตรงไวรัสและการเข้าถึงฮาร์ดแวร์นอกเหนือจากความสามารถในการเรียกใช้รหัสโดยตรงบน CPU

ฉันนำเสนอคำตอบนี้เพียงเพราะคนอื่น ๆ อ้างถึงคุณที่จะเชื่อว่าคุณเพียงแค่ต้องปกป้องตัวเองจากไฟล์แต่การอนุญาตให้โค้ดไวรัสทำงานโดยตรงบนโปรเซสเซอร์ของคุณนั้นเป็นความเสี่ยงที่ใหญ่กว่ามากในความคิดของฉัน เมนบอร์ดบางตัวปิดการใช้งานคุณสมบัติเหล่านี้ตามค่าเริ่มต้น แต่บางอย่างไม่ได้ทำ วิธีที่ดีที่สุดในการลดความเสี่ยงเหล่านี้คือการปิดใช้งานการจำลองเสมือนจริงเว้นแต่ว่าคุณต้องการมัน หากคุณไม่แน่ใจว่าถ้าคุณจำเป็นต้องใช้มันหรือไม่ปิดการใช้งาน

ในขณะที่เป็นจริงที่ไวรัสบางตัวสามารถกำหนดเป้าหมายช่องโหว่ในซอฟต์แวร์เครื่องเสมือนของคุณความรุนแรงของภัยคุกคามเหล่านี้จะเพิ่มขึ้นอย่างมากเมื่อคุณคำนึงถึงตัวประมวลผลบัญชีหรือการจำลองเสมือนของฮาร์ดแวร์โดยเฉพาะอย่างยิ่งที่ต้องการการจำลองฝั่งโฮสต์เพิ่มเติม


  1. วิธีการกู้คืนคำแนะนำแบบเสมือน x86 โดย Themida (Zhenxiang Jim Wang, Microsoft)

  2. หลีกเลี่ยงVMware Workstation ผ่าน COM1 (Kostya Kortchinsky, ทีมรักษาความปลอดภัยของ Google)


2
ขอขอบคุณคุณได้รับคำตอบที่ดีที่สุดและสมบูรณ์ที่สุดจนถึงตอนนี้ (ซึ่งรวมถึงการอ้างอิงและบางทฤษฎีฐานเกี่ยวกับเรื่อง) ขอขอบคุณ.
Diogo

4
บทความที่เชื่อมโยงจากข้อความ "ได้รับการบันทึกไว้ในอดีตที่ผ่านมา" มีอะไรจะทำอย่างไรกับการทำลายออกของ VM (มันเป็นเรื่องของการทำงานแบบเสมือน x86 สำหรับ obfuscation มัลแวร์และวิศวกรรมย้อนกลับของดังกล่าว)
ฮิวจ์อัลเลน

@ HughAllen เพิ่งอ่านบทความและจะแสดงความคิดเห็นในสิ่งเดียวกันแน่นอน ไม่ได้ปลูกฝังความมั่นใจอย่างแน่นอนว่าผู้ตอบรู้ว่าสิ่งที่เขา / เธอกำลังพูดถึงใช่ไหม?
developerbmw

@HughAllen ฉันได้เพิ่มตัวอย่างใหม่เพื่อแสดงว่าปัญหาเหล่านี้เป็นเรื่องจริง ในกรณีนี้การหาประโยชน์เกี่ยวข้องกับ VMWare โดยเฉพาะ แต่คุณสามารถค้นหาการเปิดเผยอื่น ๆ บนเว็บไซต์ความปลอดภัยต่างๆได้อย่างง่ายดาย
Breakthrough

@ เบร็ทฉันคิดว่า OP กล่าวถึงการสร้างภาพข้อมูลเพื่อแสดงว่าล่าม / นักแปลเองสามารถถูกใช้ในทางที่ผิดเพื่อจัดการกับคำสั่งที่จะถูกดำเนินการด้านโฮสต์ โปรดทราบว่าเป็นเพียงบทคัดย่อ / บทสรุปของบทความเท่านั้นไม่ใช่บทความเต็ม ฉันดูเหมือนจะไม่พบเวอร์ชันเต็ม แต่จะโพสต์ที่นี่หากฉันจัดการเพื่อค้นหาสำเนา
Breakthrough

17

หากคุณกำลังใช้โฟลเดอร์ที่ใช้ร่วมกันหรือมีการโต้ตอบเครือข่ายใด ๆ ระหว่าง VM และโฮสต์คุณอาจมีบางสิ่งที่คุณกังวล ตามความเป็นจริงฉันหมายความว่ามันขึ้นอยู่กับว่าโค้ดที่เป็นอันตรายทำอะไรได้บ้าง

หากคุณไม่ได้ใช้โฟลเดอร์ที่ใช้ร่วมกันและไม่มีการเปิดใช้งานเครือข่ายใด ๆ คุณก็น่าจะดี

การป้องกันไวรัสบนเครื่องโฮสต์ของคุณจะไม่ทำการสแกนใด ๆ ภายใน VM ของคุณเว้นแต่ว่าคุณมีสิ่งที่ใช้ร่วมกัน


1
ฉันคิดว่า OP กำลังถามว่าแอนตี้ไวรัสจะตรวจจับสิ่งใดที่ทำให้มีทางออกในการแพร่เชื้อโฮสต์ซึ่งในกรณีนี้ควร (ถ้าเป็นสิ่งที่ AV สามารถตรวจจับได้) สำหรับความปลอดภัยหากแยกออกมามีซอฟต์แวร์ที่สามารถตรวจจับการอยู่ภายใน VM (เครื่องมือของ VM สำหรับหนึ่ง ๆ แต่ยังค้นหา“ redpill vm”) และมีการทำงาน (และอาจเป็นมัลแวร์จริงในตอนนี้) ที่สามารถกระโดดได้ จาก VM (ค้นหา“ bluepill vm”)
Synetech

7
แม้ว่าสิ่งนี้จะเป็นจริงคุณลืมไปว่าจะเกิดอะไรขึ้นเมื่อคุณเปิดใช้งานการจำลองเสมือน x86 มีไวรัสที่มีอยู่ซึ่งสามารถแตกออกจากเครื่องเสมือนของคุณด้วยวิธีนี้ไม่ว่าคุณจะติดตั้งคอนโทรลเลอร์เครือข่ายบน VM หรือไม่ก็ตาม
cp2141

ควรสังเกตว่าเครื่องเสมือนจะทำการจำลอง / จำลองเสมือนมากกว่าการเชื่อมต่อเครือข่าย (เช่นการแบ่ง VM ออกจากพอร์ต COM เสมือนจริงที่จำลองขึ้นมา ) ให้เวกเตอร์จำนวนมากพยายามควบคุมระบบโฮสต์
Breakthrough

7

หาก VM ติดไวรัสที่มีเป้าหมายในการใช้ประโยชน์จากซอฟต์แวร์ VM เช่น VMWare Tools มันอาจเป็นไปได้ที่จะออกไป แต่ฉันไม่คิดว่าจะมีความสามารถใด ๆ ออกมาในขณะนี้ นอกจากนี้ยังสามารถใช้ประโยชน์จากโฮสต์ผ่านเครือข่ายหากโฮสต์มีช่องโหว่

การป้องกันไวรัสบนระบบโฮสต์ไม่ควรเห็นไวรัสใน VM เว้นแต่ว่าจะอยู่ในโฟลเดอร์แชร์


4
มีการหาช่องโหว่ที่ลอยอยู่รอบ ๆ เราสามารถขุดผ่านคำแนะนำด้านความปลอดภัยของ VMware เพียงอย่างเดียวและค้นหาบางอย่าง: vmware.com/security/advisories ผู้ขายรายอื่นก็มีปัญหาเช่นกัน
แบรด

@Brad ภูมิทัศน์มีขนาดเล็กเกินไป แน่นอนว่าจะมีไวรัสเฉพาะของ VMware พวกเขาจะขอด้วยการใช้ทั้งตัวเอง
Pacerier

1

ควรจะดีแค่ปิดการเข้าถึงการแชร์ไฟล์และกำจัดนิกภายใน VM หลังจากระยะเวลาการติดเชื้อเริ่มต้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.