Мой хост-компьютер полностью изолирован от зараженной вирусом виртуальной машины?

50

Если я использую виртуальную машину Windows 7 на хосте Windows 7, используя VMWare или VirtualBox (или что-нибудь еще) и виртуальная машина полностью перегружены вирусами и другим вредоносным программным обеспечением, стоит ли мне беспокоиться о своем хост-компьютере?

Если на хост-компьютере установлена ​​антивирусная программа, обнаружит ли она какие-либо проблемы?

Diogo
источник

Ответы:

55

До сих пор каждый ответ упускался из-за того, что существует больше векторов атак, чем просто сетевые соединения и общий доступ к файлам, но со всеми другими частями виртуальной машины - особенно в отношении виртуализации оборудования. Хороший пример этого показан ниже (ссылка 2), где гостевая ОС может выйти из контейнера VMware с помощью эмулируемого виртуального COM-порта.

Другим вектором атаки, обычно включаемым и иногда включаемым по умолчанию почти на всех современных процессорах, является виртуализация x86 , Хотя вы можете утверждать, что включение сети на виртуальной машине является самой большой угрозой безопасности (и, действительно, это риск, который необходимо учитывать), это только предотвращает передачу вирусов так, как они передаются на любой другой компьютер - по сети. Это то, для чего используется ваша антивирусная программа и брандмауэр. Что, как говорится...

Были вспышки вирусов, которые на самом деле могут «вырваться» из виртуальных машин, которые имеет был задокументирован в прошлом (подробности / примеры см. в ссылках 1 и 2 ниже). Хотя спорным решением является отключение виртуализации x86 (и снижение производительности при работе виртуальной машины), любое современное (достойное) антивирусное программное обеспечение должен быть в состоянии защитить вас от этих вирусов в рамках ограниченной причины. Четное DEP обеспечит защиту в определенной степени, но не более того, когда вирус будет запущен в вашей реальной ОС (а не в виртуальной машине). Опять же, отмечая ссылки ниже, существует много других способов, которыми вредоносное ПО может вырваться из виртуальной машины, кроме сетевых адаптеров или виртуализации / трансляции команд (например, виртуальных COM-портов или других эмулируемых драйверов оборудования).

Еще недавно было добавлено Виртуализация MMU ввода / вывода большинству новых процессоров, что позволяет DMA , Инженеру-компьютерщику не нужно видеть риск того, что виртуальной машине с вирусом будет предоставлен прямой доступ к памяти и оборудованию, а также возможность запускать код непосредственно на ЦП.

Я представляю этот ответ просто потому, что все остальные намекают на то, что вам нужно просто защитить себя от файлы Но, на мой взгляд, позволить вирусному коду напрямую работать на вашем процессоре - гораздо больший риск. Некоторые материнские платы отключают эти функции по умолчанию, но некоторые этого не делают. Лучший способ уменьшить эти риски - отключить виртуализацию, если она вам действительно не нужна. Если вы не уверены, нужно ли вам это или нет, отключи это ,

Хотя верно, что некоторые вирусы могут быть направлены на уязвимости в программном обеспечении вашей виртуальной машины, серьезность этих угроз резко возрастает, если принять во внимание виртуализацию процессора или оборудования, особенно те, которые требуют дополнительной эмуляции на стороне хоста.


  1. Как восстановить виртуализированные инструкции x86 от Themida (Чжэньсян Джим Ван, Microsoft)

  2. Выход из VMware Workstation через COM1 (Костя Кортчинский, команда безопасности Google)

cp2141
источник
2
Спасибо, вы получили лучший и самый полный ответ до сих пор (который включает ссылки и некоторую теоретическую базу по этому вопросу). Спасибо.
Diogo
4
Ссылка на статью "была задокументирована в прошлом" ничего общего с выходом из ВМ , (речь идет о виртуализации x86 для обфускации вредоносных программ и реверс-инжиниринга таких)
Hugh Allen
@HughAllen только что прочитал статью и собирался прокомментировать то же самое. Разве это не вселяет уверенность в том, что ответчик знает, о чем говорит, не так ли?
developerbmw
@HughAllen Я добавил новый пример, чтобы показать, что эти проблемы действительно реальны. В этом случае эксплойт имеет дело именно с VMWare, но вы можете легко найти другие раскрытия на различных сайтах безопасности.
Breakthrough
@ Бретт Я думаю, что OP упомянул статью о визуализации, чтобы показать, что сам интерпретатор / переводчик может быть использован для манипулирования тем, какие инструкции выполняются на стороне хоста. Также обратите внимание, что это просто аннотация / краткое изложение самой статьи, а не полная статья. Я не могу найти полную версию, но опубликую здесь, если мне удастся найти копию.
Breakthrough
17

Если вы используете общие папки или имеете какое-либо сетевое взаимодействие между виртуальной машиной и хостом, у вас есть кое-что, о чем можно беспокоиться. Потенциально я имею в виду, что это зависит от того, что на самом деле делает вредоносный код.

Если вы не используете общие папки и не имеете никакой сетевой поддержки, все будет в порядке.

Антивирус на вашем компьютере не будет сканировать вашу виртуальную машину, если у вас нет общих ресурсов.

squillman
источник
1
Я думаю, что OP спрашивал, обнаружит ли антивирус что-нибудь, что могло бы заразить хост, и в этом случае он должен (если это то, что AV может обнаружить). Что касается безопасности, если она изолирована, безусловно, есть программное обеспечение, которое может обнаружить, что находится внутри ВМ (инструменты ВМ для одного, но также искать «redpill vm»), и есть работа (и, возможно, настоящее вредоносное ПО), которая может перейти вне виртуальной машины (ищите «bluepill vm»).
Synetech
6
Хотя это действительно так, вы забыли о том, что происходит, когда включена виртуализация x86. Существуют вирусы, которые могут вырваться из вашей виртуальной машины таким образом, независимо от того, установлен ли на виртуальной машине сетевой контроллер.
cp2141
Следует также отметить, что виртуальные машины выполняют намного больше эмуляции / виртуализации, чем просто сетевые подключения (например, выход из виртуальной машины через эмулируемый виртуальный COM-порт ), предоставляя гораздо больше векторов, чтобы попытаться контролировать хост-систему.
Breakthrough
7

Если виртуальная машина заражена вирусом, нацеленным на использование программного обеспечения виртуальной машины, такого как VMWare Tools, она может выйти, но я не думаю, что что-то на данный момент способно на это. Он также может использовать хост по сети, если хост уязвим.

Антивирус на хост-системе не должен видеть вирусы на виртуальной машине, если они не находятся в общей папке.

Riguez
источник
4
Есть несколько эксплойтов, которые делают это. Можно в одиночку покопаться в советах по безопасности VMware и найти несколько: vmware.com/security/advisories У других поставщиков также есть проблемы.
Brad
@Brad, The пейзаж это слишком мало. Конечно, были бы особые вирусы VMware, они просят об этом, забирая себе весь пирог.
Pacerier
1

Все должно быть в порядке, просто отключите доступ к файлообменнику и уничтожьте нишу внутри ВМ после начального периода заражения.


источник