#безопасность #виртуальная_машина
Виртуальная машина, на которой предполагается запускать вирусы, должна быть максимально
изолирована от основной системы. Максимально — значит не иметь с ней никаких связей
насколько это возможно. Ни общих папок, ни дополнений гостевой ОС, ни расшаренных ресурсов,
ни подключённых к компьютеру переносных носителей, кстати, прекрасно определяемых некоторыми
типами эмуляторов, ни даже доступа к интернету.
Вирус может попасть минимум при наличии дополнений гостевой ОС ? А если в Drag n
Drop и Shared Clipboard значение будет disabled ? Всё равно проникнет ? А можно установить
только ту часть дополнения, которая отвечает за полный экран ?
Не стоит забывать о руткитах, уже давно научившихся распознавать виртуальные машины.
А сколько виртуальных машин может обойти руткит, если в виртуальной машине стоит
ещё одна виртуальная машина ?
В крайнем случае для запуска потенциально опасного ПО следует использовать виртуальные
машины с полной эмуляцией, такие как Bochs, которые хоть и не обладают стопроцентной
защитой от руткитов, но всё равно в плане безопасности на порядок превосходят VMware,
VirtualBox, Virtual PC, мелких уязвимостей в которых хватало и будет хватать всегда.
О каких мелких уязвимостях речь?
Ответы
Ответ 1
Следует различать следующие сценарии выхода вируса из виртуалки: простейший случай: он может воспользоваться тем, что вы разрешили виртуалке явно (т.е. теми самыми галочками) - тут вирус может даже не понять что "взломал" другую систему; он может атаковать хост-систему через виртуальную сеть как обычный сетевой червь; вирус может воспользоваться эксплоитом для конкретной модели VM; вирус может воспользоваться эксплоитом для процессора. Так вот, по первому вашему вопросу. Атака вида 1 успешно предотвращается отключенными галочками. Атаки вида 3 отключенными галочками в общем случае не предотвращаются. Однако, есть мнение что установка гостевых дополнений делает атаку 3 возможнее просто из-за увеличения количества компонентов и их сложности. Особенно сложными являются технологии виртуализации видеокарты. В частности, ранее найденные и сейчас закрытые уязвимости VirtualBox класса RCE относились именно к этой технологии. Теперь о том сколько виртуальных машин может обойти руткит. Тут все просто: обойдя виртуальную машину, толковый руткит заражает систему одним уровнем выше, после чего начинает работать на ней. И начав работать, он опять делает попытку заразить те системы до которых дотянется. Т.е. руткит может "пробить" любое число слоев виртуализации - при условии что он умеет пробивать каждый из слоев в отдельности. Список известных "мелких уязвимостей" можно найти поискав в интернете "(имя продукта) CVE". Например, вот список уязвимостей VirtualBox - https://www.cvedetails.com/vulnerability-list/vendor_id-93/product_id-20406/Oracle-Vm-Virtualbox.html Большинство уязвимостей были доступны только для атаки из хост-системы - но там есть и две уязвимости (CVE-2014-0981 и CVE-2014-0983) которые позволяли выйти из виртуалки (как я уже говорил, обе связаны с виртуализацией видеокарты). Обновление На процессорах Intel нашли уязвимость Meltdown, которая, в случае отсутствия закрывающих ее патчей, позволяет любому процессу произвольно читать любые места в оперативной памяти. Поэтому лучше не работайте с важными данными при запущенной виртуалке с вирусами если у вас Intel.Ответ 2
Ответ прост: не парьтесь. За 10 лет работы с вирьем я не встречал (и не слышал чтобы коллеги встречали) мальварь, пытающуюся специально убежать из VM. Сеть и общие папки могут использоваться, но это не целенаправленный побег из VM.Ответ 3
А сколько виртуальных машин может обойти руткит, если в виртуальной машине стоит ещё одна виртуальная машина ? Если заложена функциональность заражения основной ОС, то уровень вложенности не имеет значения Заразили систему А не в виртуальной ли мы среде? Да. Заражаем "основную" систему GOTO 1 А вот если чередовать операционки Windows -> Linux, то должно взлететь. А не слышал о вирусах работающими под обеими системамиОтвет 4
100% изоляция не реальна, т.к. файл-образ гостевой машины (вместе с вирусом) лежит в файловой системе хоста. А если проще - удалить, как минимум, сетевой адаптер в гостевой машине...
Комментариев нет:
Отправить комментарий