क्या मेरी मेजबान मशीन वायरस से संक्रमित आभासी मशीन से पूरी तरह अलग है?

52

अगर मैं VMWare या VirtualBox (या कुछ और) का उपयोग करके विंडोज 7 होस्ट पर विंडोज 7 वर्चुअल मशीन चला रहा हूं और वर्चुअल मशीन वायरस और अन्य दुर्भावनापूर्ण सॉफ़्टवेयर से पूरी तरह से भरी हुई है, तो क्या मुझे अपने होस्ट मशीन की चिंता करनी चाहिए?

अगर मेरे पास होस्ट मशीन पर एंटी-वायरस प्रोग्राम है तो क्या यह किसी समस्या का पता लगाएगा?

windows  security  virtual-machine  anti-virus  virus 
डियोगो
स्रोत

जवाबों:

57

अब तक जो भी उत्तर याद आया है, वह यह है कि सिर्फ नेटवर्क कनेक्शन और फाइल शेयरिंग की तुलना में अधिक अटैक वैक्टर हैं, लेकिन वर्चुअल मशीन के अन्य सभी हिस्सों के साथ - विशेष रूप से हार्डवेयर के वर्चुअलाइजेशन के संबंध में। इसका एक अच्छा उदाहरण नीचे दिखाया गया है (रेफरी। 2) जहां एक अतिथि ओएस वीमवेयर कंटेनर से बाहर निकल कर वर्चुअल वर्चुअल COM पोर्ट का उपयोग कर तोड़ सकता है।

एक और हमला वेक्टर, आमतौर पर शामिल है और कभी-कभी डिफ़ॉल्ट रूप से सक्षम होता है, लगभग सभी आधुनिक प्रोसेसर पर, x86 वर्चुअलाइजेशन है । जब आप तर्क दे सकते हैं कि VM पर सक्षम नेटवर्किंग होना सबसे बड़ा सुरक्षा जोखिम है (और वास्तव में, यह एक जोखिम है जिसे माना जाना चाहिए), यह केवल वायरस को संचारित होने से रोकता है कि वे हर दूसरे कंप्यूटर पर कैसे प्रसारित होते हैं - एक नेटवर्क पर। यह आपके एंटी-वायरस और फ़ायरवॉल सॉफ़्टवेयर के लिए उपयोग किया जाता है। ऐसा कहे जाने के बाद...

वहाँ वायरस जो कर सकते हैं वास्तव में आभासी मशीनों, जिनमें से "बाहर तोड़" के फैलने किया गया है है अतीत में दर्ज किया गया (संदर्भ 1 और विवरण / उदाहरण के लिए नीचे 2 देखें)। जबकि एक तर्कपूर्ण समाधान x86 वर्चुअलाइजेशन को अक्षम करना है (और वर्चुअल मशीन को चलाने वाले प्रदर्शन को हिट करना है), किसी भी आधुनिक (सभ्य) एंटी-वायरस सॉफ़्टवेयर को सीमित कारण के भीतर इन वायरस से बचाने में सक्षम होना चाहिए । यहां तक ​​कि डी.ई.पी.एक निश्चित सीमा तक सुरक्षा प्रदान करेगा, लेकिन तब और कुछ नहीं जब वायरस को आपके वास्तविक ओएस (और वीएम में नहीं) पर निष्पादित किया जाएगा। फिर, नीचे दिए गए संदर्भों को देखते हुए, कई अन्य तरीके हैं जिनसे मैलवेयर नेटवर्क एडेप्टर या इंस्ट्रक्शन वर्चुअलाइजेशन / ट्रांसलेशन (जैसे वर्चुअल COM पोर्ट्स, या अन्य एमुलेटेड हार्डवेयर ड्राइवर) से अलग हो सकता है।

अभी भी हाल ही में अधिकांश नए प्रोसेसर के लिए I / O MMU वर्चुअलाइजेशन को जोड़ा गया है , जो DMA को अनुमति देता है । सीपीयू पर सीधे कोड चलाने में सक्षम होने के अलावा, यह एक कंप्यूटर वैज्ञानिक को वायरस डायरेक्ट मेमोरी और हार्डवेयर एक्सेस के साथ वर्चुअल मशीन की अनुमति देने के जोखिम को देखने के लिए नहीं लेता है।

मैं इस उत्तर को केवल इसलिए प्रस्तुत करता हूं क्योंकि अन्य सभी आपको विश्वास दिलाते हैं कि आपको केवल फाइलों से खुद को बचाने की आवश्यकता है , लेकिन वायरस कोड को सीधे अपने प्रोसेसर पर चलाने की अनुमति देना मेरी राय में बहुत बड़ा जोखिम है। कुछ मदरबोर्ड डिफ़ॉल्ट रूप से इन सुविधाओं को अक्षम करते हैं, लेकिन कुछ नहीं करते हैं। इन जोखिमों को कम करने का सबसे अच्छा तरीका वर्चुअलाइजेशन को अक्षम करना है जब तक कि आपको वास्तव में इसकी आवश्यकता न हो। यदि आपको निश्चित नहीं है कि आपको इसकी आवश्यकता है या नहीं, तो इसे निष्क्रिय कर दें

हालांकि यह सच है कि कुछ वायरस आपके वर्चुअल मशीन सॉफ़्टवेयर में भेद्यता को लक्षित कर सकते हैं, जब आप प्रोसेसर या हार्डवेयर वर्चुअलाइजेशन को ध्यान में रखते हैं, तो इन खतरों की गंभीरता बहुत बढ़ जाती है, विशेष रूप से उन जिनके लिए अतिरिक्त होस्ट-साइड एमुलेशन की आवश्यकता होती है।

  1. Themida द्वारा आभासीकृत x86 निर्देशों को कैसे पुनर्प्राप्त करें (झेनझिंग जिम वांग, माइक्रोसॉफ्ट)

  2. COM1 (Kostya Kortchinsky, Google Security Team) के माध्यम से VMware कार्य केंद्र से बचना

cp2141
स्रोत
2
धन्यवाद, आपको अब तक का सबसे अच्छा और सबसे पूर्ण उत्तर मिला (जिसमें संदर्भ और विषय के बारे में कुछ सिद्धांत आधार शामिल हैं)। धन्यवाद।
दिओगो
4
पाठ से जुड़ा लेख "अतीत में दस्तावेज किया गया है" एक वीएम से बाहर निकलने से कोई लेना-देना नहीं है । (यह मैलवेयर obfuscation के लिए x86 वर्चुअलाइजेशन के बारे में है, और इस तरह के रिवर्स इंजीनियरिंग)
ह्यूग एलन
@HughAllen ने केवल लेख पढ़ा और उसी सटीक टिप्पणी के लिए जा रहा था। क्या वास्तव में आत्मविश्वास पैदा नहीं करता है कि उत्तरदाता जानता है कि वह क्या बात कर रहा है / करती है?
डेवलेपर
@HughAllen मैंने यह दिखाने के लिए एक नया उदाहरण जोड़ा है कि ये मुद्दे वास्तव में वास्तविक हैं। इस मामले में शोषण विशेष रूप से VMWare से संबंधित है, लेकिन आप आसानी से विभिन्न सुरक्षा वेबसाइटों पर अन्य खुलासे पा सकते हैं।
ब्रेकथ्रू
@ मुझे लगता है कि ओपी ने विज़ुअलाइज़ेशन लेख का उल्लेख किया है कि यह दर्शाने के लिए कि दुभाषिया / अनुवादक को केवल यह बताने के लिए दुर्व्यवहार किया जा सकता है कि मेजबान-पक्ष को क्या निर्देश दिए जा रहे हैं। यह भी ध्यान दें कि लेख का केवल एक सार / सारांश है और पूर्ण लेख नहीं है। मैं एक पूर्ण संस्करण खोजने के लिए प्रतीत नहीं कर सकता, लेकिन अगर मैं एक प्रति ढूंढने का प्रबंधन करता हूं तो यहां पोस्ट करूंगा।
ब्रेकथ्रू
17

यदि आप साझा किए गए फ़ोल्डरों का उपयोग कर रहे हैं या आपके पास VM और होस्ट के बीच किसी भी तरह का नेटवर्क इंटरैक्शन है, तो आपके पास संभावित रूप से चिंता करने के लिए कुछ है। संभावित रूप से, मेरा मतलब है कि यह निर्भर करता है कि वास्तव में दुर्भावनापूर्ण कोड क्या करता है।

यदि आप साझा किए गए फ़ोल्डरों का उपयोग नहीं करते हैं और किसी भी प्रकार की नेटवर्किंग सक्षम नहीं है, तो आपको ठीक होना चाहिए।

आपके मेजबान मशीन पर एंटी-वायरस आपके वीएम के भीतर किसी भी प्रकार की स्कैनिंग नहीं करेगा जब तक कि आपके पास चीजें साझा न हों।

squillman
स्रोत
1
मुझे लगता है कि अगर एंटी-वायरस कुछ भी है कि बनाया यह मेजबान, संक्रमित करने के लिए जिस तरह से बाहर है का पता लगाने जाएगा ओपी पूछ रहा था जो मामले में, यह होना चाहिए (यह कुछ है कि ए वी का पता लगा सकते है)। यदि सुरक्षित होने पर अलग-थलग किया जाता है, तो निश्चित रूप से ऐसा सॉफ़्टवेयर होता है जो वीएम के अंदर होने का पता लगा सकता है (एक के लिए वीएम के उपकरण, लेकिन "रेडपिल वीएम" भी देखें), और वहाँ काम (और संभवतः अब तक वास्तविक मैलवेयर) हो सकता है एक वीएम से बाहर ("ब्लूपिल वीएम" देखें)।
सिंथेटिक्स
7
जब यह सत्य है, तो आप भूल गए कि x86 वर्चुअलाइजेशन सक्षम होने पर क्या होता है। ऐसे वायरस हैं जो मौजूद हैं जो आपकी वर्चुअल मशीन से इस तरह से बाहर निकल सकते हैं, भले ही आपके पास वीएम पर नेटवर्क नियंत्रक स्थापित हो या न हो।
cp2141
यह भी ध्यान दिया जाना चाहिए कि वर्चुअल मशीन सिर्फ नेटवर्क कनेक्शन की तुलना में बहुत अधिक एमुलेशन / वर्चुअलाइजेशन करती हैं (जैसे इम्यूलेटेड वर्चुअल COM पोर्ट के माध्यम से एक वीएम को तोड़ना ), मेजबान सिस्टम को नियंत्रित करने के प्रयास के लिए बहुत अधिक वैक्टर प्रदान करता है।
ब्रेकथ्रू
7

यदि वीएम वायरस से संक्रमित है जो वीएमवेयर टूल्स जैसे वीएम सॉफ्टवेयर का शोषण करने पर लक्षित है, तो यह संभव हो सकता है, लेकिन मुझे नहीं लगता कि इस समय इसमें कुछ भी सक्षम है। यह नेटवर्क पर मेजबान का शोषण भी कर सकता है यदि मेजबान कमजोर है।

होस्ट सिस्टम पर एंटी-वायरस को वीएम में वायरस नहीं देखना चाहिए जब तक कि वे एक साझा फ़ोल्डर पर नहीं बैठे हों।

Riguez
स्रोत
4
ऐसा करने वाले कुछ मुट्ठी भर कारनामे हैं। अकेले VMware सुरक्षा सलाह के माध्यम से खुदाई कर सकते हैं और कुछ मिल सकता है: vmware.com/security/advisories अन्य विक्रेताओं को भी समस्या होती है।
ब्रैड
@ ब्रैड, परिदृश्य बहुत छोटा है। बेशक वीएमवेयर विशिष्ट वायरस होंगे, वे पूरी पाई को खुद से ले कर इसके लिए पूछ रहे हैं।
पचेरियर
1

ठीक होना चाहिए, प्रारंभिक संक्रमण अवधि के बाद वीएम के अंदर फ़ाइल साझाकरण तक पहुंच को बंद कर दें और उसे मार दें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.