Là máy chủ của tôi hoàn toàn cách ly với một máy ảo bị nhiễm virus?


52

Nếu tôi đang chạy máy ảo Windows 7 trên máy chủ Windows 7 bằng VMWare hoặc VirtualBox (hoặc bất cứ thứ gì khác) và máy ảo bị quá tải hoàn toàn với virus và phần mềm độc hại khác, tôi có nên lo lắng về máy chủ của mình không?

Nếu tôi có một chương trình chống vi-rút trên máy chủ thì nó có phát hiện ra vấn đề gì không?

Câu trả lời:


57

Điều mà mọi câu trả lời đã bỏ lỡ cho đến nay là có nhiều vectơ tấn công hơn là chỉ kết nối mạng và chia sẻ tệp, nhưng với tất cả các phần khác của máy ảo - đặc biệt là liên quan đến phần cứng ảo hóa. Một ví dụ điển hình về điều này được hiển thị bên dưới (tham khảo 2) trong đó một hệ điều hành khách có thể thoát ra khỏi bộ chứa VMware bằng cổng COM ảo được mô phỏng.

Một vectơ tấn công khác, thường được bao gồm và đôi khi được bật theo mặc định, trên hầu hết tất cả các bộ xử lý hiện đại, là ảo hóa x86 . Mặc dù bạn có thể lập luận rằng việc kích hoạt mạng trên máy ảo là rủi ro bảo mật lớn nhất (và thực tế, đó là rủi ro phải được xem xét), điều này chỉ ngăn vi-rút lây truyền qua cách chúng được truyền trên mọi máy tính khác - qua mạng. Đây là những gì phần mềm chống vi-rút và tường lửa của bạn được sử dụng cho. Điều đó đang được nói ...

Đã có những đợt bùng phát virus thực sự có thể "bùng phát" các máy ảo, đã được ghi nhận trong quá khứ (xem tài liệu tham khảo 1 và 2 dưới đây để biết chi tiết / ví dụ). Trong khi một giải pháp có thể tranh cãi là vô hiệu hóa ảo hóa x86 (và đạt hiệu suất cao khi chạy máy ảo), bất kỳ phần mềm chống vi-rút (đàng hoàng) hiện đại nào cũng có thể bảo vệ bạn khỏi các vi-rút này trong lý do hạn chế. Ngay cả DEPsẽ cung cấp sự bảo vệ ở một mức độ nhất định, nhưng sau đó, khi virus sẽ được thực thi trên hệ điều hành thực tế của bạn (chứ không phải trong VM). Một lần nữa, lưu ý các tài liệu tham khảo bên dưới, có nhiều cách khác phần mềm độc hại có thể thoát ra khỏi máy ảo ngoài bộ điều hợp mạng hoặc ảo hóa / dịch lệnh (ví dụ: cổng COM ảo hoặc trình điều khiển phần cứng giả lập khác).

Gần đây hơn nữa là việc bổ sung Ảo hóa I / O MMU cho hầu hết các bộ xử lý mới, cho phép DMA . Không cần một nhà khoa học máy tính để thấy rủi ro khi cho phép một máy ảo có bộ nhớ trực tiếp và phần cứng truy cập virus, ngoài việc có thể chạy mã trực tiếp trên CPU.

Tôi trình bày câu trả lời này đơn giản vì tất cả những câu hỏi khác đều ám chỉ bạn tin rằng bạn chỉ cần tự bảo vệ mình khỏi các tệp , nhưng cho phép mã virus chạy trực tiếp trên bộ xử lý của bạn là một rủi ro lớn hơn nhiều theo quan điểm của tôi. Một số bo mạch chủ vô hiệu hóa các tính năng này theo mặc định, nhưng một số thì không. Cách tốt nhất để giảm thiểu những rủi ro này là vô hiệu hóa ảo hóa trừ khi bạn thực sự cần nó. Nếu bạn không chắc mình có cần hay không, hãy tắt nó đi .

Mặc dù đúng là một số vi-rút có thể nhắm vào các lỗ hổng trong phần mềm máy ảo của bạn, nhưng mức độ nghiêm trọng của các mối đe dọa này tăng mạnh khi bạn tính đến bộ xử lý tài khoản hoặc ảo hóa phần cứng, đặc biệt là các phần mềm yêu cầu mô phỏng phía máy chủ bổ sung.


  1. Cách khôi phục hướng dẫn ảo x86 của Themida (Zhenxiang Jim Wang, Microsoft)

  2. Thoát khỏi VMware Workstation thông qua COM1 (Kostya Kortchinsky, Nhóm bảo mật của Google)


2
Cảm ơn, bạn đã có câu trả lời tốt nhất và đầy đủ nhất cho đến bây giờ (bao gồm tài liệu tham khảo và một số cơ sở lý thuyết về chủ đề này). Cảm ơn bạn.
Diogo

4
Bài viết được liên kết từ văn bản "đã được ghi lại trong quá khứ" không liên quan gì đến việc thoát ra khỏi VM . (đó là về ảo hóa x86 để che giấu phần mềm độc hại và kỹ thuật đảo ngược như vậy)
Hugh Allen

@HughAllen chỉ cần đọc bài viết và sẽ bình luận chính xác điều tương tự. Không chính xác thấm nhuần niềm tin rằng người trả lời biết những gì anh ấy / cô ấy đang nói về, phải không?
nhà phát triển xe máy

@HughAllen Tôi đã thêm một ví dụ mới để cho thấy rằng những vấn đề này thực sự có thật. Trong trường hợp này, giao dịch khai thác cụ thể với VMWare, nhưng bạn có thể dễ dàng tìm thấy các tiết lộ khác trên các trang web bảo mật khác nhau.
Đột phá

@Brett Tôi nghĩ rằng OP đã đề cập đến bài viết trực quan hóa để cho thấy rằng chính trình thông dịch / dịch giả có thể bị lạm dụng để thao túng những hướng dẫn nào đang được thực hiện phía máy chủ. Cũng lưu ý rằng đó chỉ là một bản tóm tắt / tóm tắt của chính bài viết chứ không phải toàn bộ bài viết. Tôi dường như không thể tìm thấy một phiên bản đầy đủ, nhưng sẽ đăng ở đây nếu tôi tìm được một bản sao.
Đột phá

17

Nếu bạn đang sử dụng các thư mục được chia sẻ hoặc có bất kỳ loại tương tác mạng nào giữa VM và máy chủ thì bạn có điều gì đó có khả năng lo lắng. Theo khả năng, tôi có nghĩa là nó phụ thuộc vào những gì mã độc thực sự làm.

Nếu bạn không sử dụng các thư mục được chia sẻ và không có bất kỳ loại kết nối mạng nào, bạn sẽ ổn thôi.

Chống vi-rút trên máy chủ của bạn sẽ không thực hiện bất kỳ loại quét nào trong máy ảo của bạn trừ khi bạn có những thứ được chia sẻ.


1
Tôi nghĩ rằng OP đã hỏi liệu phần mềm chống vi-rút có phát hiện ra bất cứ thứ gì khiến nó lây nhiễm ra máy chủ hay không, trong trường hợp đó, nó nên (nếu đó là thứ mà AV có thể phát hiện). Để an toàn nếu bị cô lập, chắc chắn có phần mềm có thể phát hiện bên trong máy ảo (công cụ của VM dành cho một người, nhưng cũng tìm kiếm trên redpill vm,) và có một phần mềm (và có thể là phần mềm độc hại thực tế) có thể nhảy ra khỏi máy ảo (tra cứu bản bluepill vm đá).
Synetech

7
Trong khi điều này là đúng, bạn đã quên mất những gì xảy ra khi bật ảo hóa x86. Có những loại virus tồn tại có thể thoát ra khỏi máy ảo của bạn theo cách này, bất kể bạn có cài đặt bộ điều khiển mạng trên VM hay không.
cp2141

Cũng cần lưu ý rằng các máy ảo thực hiện nhiều mô phỏng / ảo hóa hơn là chỉ kết nối mạng (ví dụ: thoát khỏi VM thông qua cổng COM ảo được mô phỏng ), cung cấp nhiều vectơ hơn để cố gắng kiểm soát hệ thống máy chủ.
Đột phá

7

Nếu VM bị nhiễm vi-rút nhắm mục tiêu khai thác Phần mềm VM như VMWare Tools, thì nó có thể thoát ra được, nhưng tôi không nghĩ bất cứ điều gì hiện tại có khả năng này. Nó cũng có thể khai thác máy chủ qua mạng nếu máy chủ dễ bị tấn công.

Trình chống vi-rút trên hệ thống máy chủ không được thấy vi-rút trong máy ảo trừ khi chúng đang ngồi trên một thư mục dùng chung.


4
Có một số ít các khai thác nổi xung quanh làm điều này. Người ta có thể tự mình đào qua các Cố vấn bảo mật của VMware và tìm thấy một vài: vmware.com/security/advisories Các nhà cung cấp khác cũng có vấn đề.
Brad

@Brad, Phong cảnh quá nhỏ. Tất nhiên sẽ có virus đặc thù của VMware, họ đang yêu cầu nó bằng cách tự mình lấy toàn bộ chiếc bánh.
Pacerier

1

Sẽ ổn thôi, chỉ cần tắt quyền truy cập vào chia sẻ tệp và tiêu diệt nic bên trong VM sau thời gian lây nhiễm ban đầu.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.