it-swarm-vi.com

Có an toàn không khi cài đặt phần mềm độc hại trong a VM

Có an toàn để cài đặt phần mềm độc hại trong các máy ảo? Tôi muốn điều tra phần mềm độc hại, nhưng tôi không muốn lây nhiễm máy tính của riêng tôi.

Tôi có thể cài đặt phần mềm độc hại trong VMWare VM, thậm chí có thể không có quyền truy cập mạng mà không gây nguy hiểm cho tính toàn vẹn của hệ thống Máy chủ của tôi không?

60
Erik

Không có câu trả lời đơn giản cho câu hỏi này. VM phần mềm vẫn là phần mềm và có các lỗ hổng có thể nhắm mục tiêu và do đó, theo lý thuyết, ít nhất, được khai thác để gây hại nhiều hơn.

Chạy một VM có quyền truy cập vào mạng của bạn cũng mở ra các vectơ tấn công tiềm năng.

Một điểm thú vị khác cần xem xét là phần mềm độc hại đủ tiên tiến có thể nhận biết VM và sửa đổi hành vi của nó khi phát hiện ra rằng nó đang chạy bên trong VM, che giấu các cap capit gây hại thực sự.

34
code_burgar

Tôi chưa thấy bất kỳ phần mềm độc hại nào được thiết kế để lây nhiễm máy chủ từ bên trong máy ảo. Tôi hy vọng rằng hầu hết các phần mềm độc hại đơn giản sẽ không quan tâm đến việc nó đang chạy trên phần cứng trần hay trong một VM vì nó có thể đạt được mục tiêu tốt như nhau trong cả hai trường hợp. Đó là có lẽ an toàn khi cho rằng phần mềm độc hại sẽ không thoát khỏi a VM đơn giản vì nó không có động lực để làm như vậy.

công cụ được thiết kế để chứa và phân tích phần mềm độc hại và rất nhiều thông tin có sẵnvề cách thực hiện việc này . Ngoài ra một couple of giấy tờ với các kỹ thuật và công cụ.

22
Ladadadada

Có, nếu bạn thực sự ràng buộc bản thân với một số quy tắc bảo mật (hoàn toàn lành mạnh):

  1. Sử dụng một hoàn toàn hệ điều hành khác nhau cho Máy chủ và cho khách. Ví dụ: phần mềm độc hại sẽ lây nhiễm khách Windows của bạn không có khả năng lây nhiễm hoặc thậm chí tấn công Máy chủ Linux của bạn.

  2. Không sử dụng các hệ điều hành tương tự trên mạng của bạn hơn khách. Một lần nữa, khách Windows của bạn có thể bị nhiễm, nhưng một OpenBSD rất khó bị tấn công bởi bất kỳ phần mềm độc hại nào.

  3. Sử dụng suy nghĩ thông thường. Mục tiêu của hệ thống ảo hóa phải là hoàn toàn bị nhiễm. Không sử dụng hệ thống bị nhiễm, ví dụ, cho các hoạt động ngân hàng trực tuyến của bạn.

  4. Biết giới hạn của bạn. Điều này là vô cùng quan trọng. Bất cứ khi nào nghi ngờ rằng phần mềm độc hại khác xuất hiện trên hệ thống của bạn hơn phần mềm độc hại cụ thể đang được điều tra, hãy ngay lập tức kết thúc thử nghiệm của bạn và bắt đầu lại.

Hai điểm đầu tiên của danh sách sẽ - chắc chắn - gần như đảm bảo rằng lỗ hổng bảo mật trong hệ thống ảo hóa của bạn sẽ không gây hại cho các máy khác của bạn.

17
vakufo

VM và trình gỡ lỗi là tùy chọn không chuyên nghiệp tốt nhất mà bạn có.
[.__.] Các công ty AV thường sử dụng hộp cát để phân tích hành vi. Nếu bạn tìm kiếm, bạn sẽ tìm thấy các ứng dụng như thế này.

3
vlg789

Cách duy nhất có thể là khai thác lỗi trong phần mềm VM vì mọi thứ VM thực hiện là bắt các sự kiện như I/O và bàn giao cho Máy chủ Nếu nhà cung cấp của bạn không quan tâm đến dòng đệm ở đây và đó, bạn có thể thực thi mã nguy hiểm trên máy chủ. NHƯNG! Tôi thực sự không chắc chắn 100%.

2
Andre

Nếu bạn đang làm việc trên linux như ubfox hoặc debian, có một hộp cát lớn có tên limon sandbox. Có thể tìm thấy giấy ở đây https://www.blackhat.com/docs/eu-15/m vật liệu/e-15 -KA-Automating-Linux-Malware-Phân tích-Sử dụng-Limon-Sandbox-wp.pdf và nếu bạn muốn có một lời giải thích tốt cho việc cài đặt thì hãy theo dõi tại đây http: //malware-unplugged.blogspot. trong/2015/11/setup-up-limon-sandbox-for-analyzing.html

1
ashish

Tôi chỉ muốn thêm một thông tin để làm cho bạn cẩn thận hơn về vấn đề này hơn các câu trả lời khác (mà không làm giảm giá trị của chúng) được nêu ra.

Một nhà nghiên cứu đã nói :

Các công ty và quản trị viên có xu hướng tin tưởng rằng việc thoát ra khỏi VM là không thể. Rất nhiều người coi đây chỉ là một bằng chứng khái niệm khác. Họ không hiểu đó là một phương tiện thương mại khai thác có sẵn.

Chủ đề nghiêm trọng đến mức các công cụ thương mại như cái này đã được phát triển trong quá khứ cho mục đích này.

1
user45139