Вирусы и руткиты в виртуальной машине
1,00
р.
Виртуальная машина, на которой предполагается запускать вирусы, должна быть максимально изолирована от основной системы. Максимально — значит не иметь с ней никаких связей насколько это возможно. Ни общих папок, ни дополнений гостевой ОС, ни расшаренных ресурсов, ни подключённых к компьютеру переносных носителей, кстати, прекрасно определяемых некоторыми типами эмуляторов, ни даже доступа к интернету.
Вирус может попасть минимум при наличии дополнений гостевой ОС ? А если в Drag n Drop и Shared Clipboard значение будет disabled ? Всё равно проникнет ? А можно установить только ту часть дополнения, которая отвечает за полный экран ?
Не стоит забывать о руткитах, уже давно научившихся распознавать виртуальные машины.
А сколько виртуальных машин может обойти руткит, если в виртуальной машине стоит ещё одна виртуальная машина ?
В крайнем случае для запуска потенциально опасного ПО следует использовать виртуальные машины с полной эмуляцией, такие как Bochs, которые хоть и не обладают стопроцентной защитой от руткитов, но всё равно в плане безопасности на порядок превосходят VMware, VirtualBox, Virtual PC, мелких уязвимостей в которых хватало и будет хватать всегда.
О каких мелких уязвимостях речь?
Ответ
Следует различать следующие сценарии выхода вируса из виртуалки:
простейший случай: он может воспользоваться тем, что вы разрешили виртуалке явно (т.е. теми самыми галочками) - тут вирус может даже не понять что "взломал" другую систему он может атаковать хост-систему через виртуальную сеть как обычный сетевой червь вирус может воспользоваться эксплоитом для конкретной модели VM вирус может воспользоваться эксплоитом для процессора.
Так вот, по первому вашему вопросу. Атака вида 1 успешно предотвращается отключенными галочками. Атаки вида 3 отключенными галочками в общем случае не предотвращаются.
Однако, есть мнение что установка гостевых дополнений делает атаку 3 возможнее просто из-за увеличения количества компонентов и их сложности. Особенно сложными являются технологии виртуализации видеокарты. В частности, ранее найденные и сейчас закрытые уязвимости VirtualBox класса RCE относились именно к этой технологии.
Теперь о том сколько виртуальных машин может обойти руткит. Тут все просто: обойдя виртуальную машину, толковый руткит заражает систему одним уровнем выше, после чего начинает работать на ней. И начав работать, он опять делает попытку заразить те системы до которых дотянется.
Т.е. руткит может "пробить" любое число слоев виртуализации - при условии что он умеет пробивать каждый из слоев в отдельности.
Список известных "мелких уязвимостей" можно найти поискав в интернете "(имя продукта) CVE".
Например, вот список уязвимостей VirtualBox - https://www.cvedetails.com/vulnerability-list/vendor_id-93/product_id-20406/Oracle-Vm-Virtualbox.html
Большинство уязвимостей были доступны только для атаки из хост-системы - но там есть и две уязвимости (CVE-2014-0981 и CVE-2014-0983) которые позволяли выйти из виртуалки (как я уже говорил, обе связаны с виртуализацией видеокарты).
Обновление На процессорах Intel нашли уязвимость Meltdown, которая, в случае отсутствия закрывающих ее патчей, позволяет любому процессу произвольно читать любые места в оперативной памяти. Поэтому лучше не работайте с важными данными при запущенной виртуалке с вирусами если у вас Intel.
Вирус может попасть минимум при наличии дополнений гостевой ОС ? А если в Drag n Drop и Shared Clipboard значение будет disabled ? Всё равно проникнет ? А можно установить только ту часть дополнения, которая отвечает за полный экран ?
Не стоит забывать о руткитах, уже давно научившихся распознавать виртуальные машины.
А сколько виртуальных машин может обойти руткит, если в виртуальной машине стоит ещё одна виртуальная машина ?
В крайнем случае для запуска потенциально опасного ПО следует использовать виртуальные машины с полной эмуляцией, такие как Bochs, которые хоть и не обладают стопроцентной защитой от руткитов, но всё равно в плане безопасности на порядок превосходят VMware, VirtualBox, Virtual PC, мелких уязвимостей в которых хватало и будет хватать всегда.
О каких мелких уязвимостях речь?
Ответ
Следует различать следующие сценарии выхода вируса из виртуалки:
простейший случай: он может воспользоваться тем, что вы разрешили виртуалке явно (т.е. теми самыми галочками) - тут вирус может даже не понять что "взломал" другую систему он может атаковать хост-систему через виртуальную сеть как обычный сетевой червь вирус может воспользоваться эксплоитом для конкретной модели VM вирус может воспользоваться эксплоитом для процессора.
Так вот, по первому вашему вопросу. Атака вида 1 успешно предотвращается отключенными галочками. Атаки вида 3 отключенными галочками в общем случае не предотвращаются.
Однако, есть мнение что установка гостевых дополнений делает атаку 3 возможнее просто из-за увеличения количества компонентов и их сложности. Особенно сложными являются технологии виртуализации видеокарты. В частности, ранее найденные и сейчас закрытые уязвимости VirtualBox класса RCE относились именно к этой технологии.
Теперь о том сколько виртуальных машин может обойти руткит. Тут все просто: обойдя виртуальную машину, толковый руткит заражает систему одним уровнем выше, после чего начинает работать на ней. И начав работать, он опять делает попытку заразить те системы до которых дотянется.
Т.е. руткит может "пробить" любое число слоев виртуализации - при условии что он умеет пробивать каждый из слоев в отдельности.
Список известных "мелких уязвимостей" можно найти поискав в интернете "(имя продукта) CVE".
Например, вот список уязвимостей VirtualBox - https://www.cvedetails.com/vulnerability-list/vendor_id-93/product_id-20406/Oracle-Vm-Virtualbox.html
Большинство уязвимостей были доступны только для атаки из хост-системы - но там есть и две уязвимости (CVE-2014-0981 и CVE-2014-0983) которые позволяли выйти из виртуалки (как я уже говорил, обе связаны с виртуализацией видеокарты).
Обновление На процессорах Intel нашли уязвимость Meltdown, которая, в случае отсутствия закрывающих ее патчей, позволяет любому процессу произвольно читать любые места в оперативной памяти. Поэтому лучше не работайте с важными данными при запущенной виртуалке с вирусами если у вас Intel.
