it-swarm-vi.com

Làm thế nào an toàn là máy ảo thực sự? Sai cảm giác an toàn?

Tôi đã đọc cuốn sách này cuốn sách CompTIA Security + SYO-201 , và tác giả David PrTHER tuyên bố rằng:

Bất cứ khi nào VM bạn chọn, VM không thể vượt qua các ranh giới phần mềm được đặt tại chỗ. Ví dụ: vi-rút có thể lây nhiễm vào máy tính khi được thực thi và lây lan sang các tệp khác Tuy nhiên, trong HĐH, một vi-rút được thực thi trong VM sẽ lây lan qua VM nhưng không ảnh hưởng đến HĐH thực tế bên dưới.

Vì vậy, nếu tôi đang chạy trình phát VMWare và thực thi một số phần mềm độc hại trên hệ điều hành máy ảo của mình, tôi không phải lo lắng về việc hệ thống Máy chủ của mình bị xâm phạm, tại tất cả ?

Điều gì xảy ra nếu máy ảo chia sẻ mạng với Máy chủ và các thư mục dùng chung được bật?

Không phải con sâu vẫn có thể tự sao chép vào máy chủ theo cách đó sao? Không phải người dùng vẫn dễ bị AutoRun nếu HĐH là Windows và họ lắp thiết bị lưu trữ USB?

Làm thế nào an toàn là máy ảo, thực sự? Bao nhiêu họ bảo vệ máy chủ khỏi phần mềm độc hại và các cuộc tấn công?

163
T. Webster

VM chắc chắn có thể vượt qua. Thông thường bạn có chúng được nối mạng, do đó, bất kỳ phần mềm độc hại nào có thành phần mạng (tức là sâu) sẽ lan truyền đến bất cứ nơi nào địa chỉ/định tuyến của chúng cho phép chúng đến. Các virus thông thường có xu hướng chỉ hoạt động trong usermode, vì vậy trong khi chúng không thể giao tiếp một cách công khai, chúng vẫn có thể thiết lập một kênh bí mật. Nếu bạn đang chia sẻ CPU, một quá trình bận rộn trên một VM có thể giao tiếp hiệu quả với trạng thái khác VM (đó là kênh chuyển đổi thời gian nguyên mẫu của bạn). khó hơn một chút vì các đĩa ảo thường có giới hạn cứng đối với chúng, vì vậy trừ khi bạn có một hệ thống có thể cam kết quá mức dung lượng đĩa, thì đó không phải là vấn đề.

Cách tiếp cận thú vị nhất để bảo vệ máy ảo được gọi là Hạt nhân phân tách . Đó là kết quả của John Rushby's tờ 1981 về cơ bản nói rằng để các VM được phân lập theo cách có thể tương đương với tách vật lý, máy tính phải xuất tài nguyên của nó sang các VM cụ thể theo cách không có bất kỳ tài nguyên nào có thể lưu trữ trạng thái được chia sẻ giữa các VM. Điều này có hậu quả sâu sắc, vì nó đòi hỏi kiến ​​trúc máy tính cơ bản phải được thiết kế theo cách mà điều này có thể được thực hiện theo cách không thể bỏ qua.

30 năm sau bài báo này, cuối cùng chúng tôi cũng có vài sản phẩm tuyên bố sẽ làm điều đó. x86 không phải là nền tảng tốt nhất cho nó, vì có nhiều hướng dẫn không thể ảo hóa, để hỗ trợ đầy đủ ý tưởng 'không chia sẻ'. Nó cũng không thực tế cho các hệ thống thông thường, vì để có bốn máy ảo, bạn cần bốn ổ cứng treo bốn bộ điều khiển đĩa, bốn thẻ video, bốn bộ điều khiển USB với bốn con chuột, v.v.

91
Marcin

Đã có một số sách trắng được xuất bản trong những năm qua mô tả các cách mà các nhà nghiên cứu đã quản lý để xâm nhập Hệ điều hành máy chủ từ máy ảo. Chúng thường được nhìn thấy, đúng như vậy, vì các lỗ hổng bảo mật của các nhà cung cấp VM và được xử lý như vậy. Kể từ lần đầu tiên tôi nhìn thấy các giấy tờ đó, Intel đã thực hiện một số cải tiến đáng kể về bộ hướng dẫn bộ xử lý trong việc cho phép tách VM và trình ảo hóa.

Một vài lỗ hổng mà tôi thấy ngày nay được dựa nhiều hơn trong phần 'vmtools'. Đây là phần mềm bạn cài đặt để giúp HĐH khách chạy hiệu quả hơn (đối với VMWare, đây là phần mềm cho phép chụp con trỏ bay và chia sẻ giữa khách và Máy chủ mà không cần mạng). Đây là một con đường phần mềm đặc biệt cho nhiễm trùng; không cài đặt các công cụ, không có lỗ hổng.

Một số phần mềm độc hại đã cho thấy khả năng phát hiện rằng chúng đang được thực thi bên trong a VM và do đó thay đổi hành vi của chúng, làm cho các nhà nghiên cứu phần mềm độc hại cố gắng sử dụng VM tăng nặng như một cách để kiểm tra phần mềm độc hại. Tuy nhiên, tôi không biết mức độ phổ biến của những ngày này.

63
sysadmin1138

Có thể tìm thấy một ví dụ về thực thi mã khách-máy chủ trong khai thác Cloudburst. Có một video trình diễn nó và một bài báo từ Miễn dịch chi tiết thành công của họ trên VMware Workstation 6.5.0 build118166 trên Windows Vista SP1, VMware Workstation 6.5.1 build126130 trên Windows Vista SP1 và (thậm chí đáng sợ hơn) VMware ESX Server 4.0.0 build133495.

Điều này có thể cung cấp một chút thoải mái, nhưng tôi chưa bao giờ nghe nói về việc này được sử dụng trong tự nhiên và khai thác là từ năm 2009. Cuốn sách đó đã được xuất bản năm 2010 vì vậy tác giả nên xóa sạch tuyên bố đó.

24
harley

Một máy ảo chính xác là một máy riêng biệt về mặt logic, do đó, nó phải có cùng các lớp bảo mật được đặt trên nó giống như một hệ thống kim loại trần. Sử dụng máy ảo sẽ không dừng lại nếu nó sử dụng các kênh thông thường để đến máy chủ.

Vẻ đẹp thực sự trong ảo hóa là khả năng đưa các máy ảo trở lại trạng thái mà chúng không bị ảnh hưởng, cũng như khả năng quản lý tốt hơn các tài nguyên có sẵn.

Nếu các bước thích hợp được thực hiện để bảo vệ Máy chủ, ảo hóa có thể cực kỳ an toàn. Các thực hành như giữ quản lý máy chủ ESX/VM trên một mạng logic khác và không sử dụng các công cụ giao tiếp VM-Host sẽ khiến những kẻ tấn công hầu như không biết gì về thực tế là một máy ảo, chứ đừng nói đến cách truy cập vào Máy chủ.

Ngoài ra, có những khai thác được biết là có hiệu ứng VM máy chủ (Tôi đã chơi với chúng trong VMWare và Hyper-V). Hiện tại tôi chỉ biết về khai thác DoS của Host khi nói đến siêu v (xem this ), nhưng tôi chắc chắn có những phát hiện khác ở đường chân trời. VMWare cũng có một số trong lịch sử của nó (ví dụ this , đó là các công cụ VMWare dựa trên, nhưng nó vẫn được áp dụng).

Tùy thuộc vào những gì bạn đang làm, có một số công cụ trực tuyến có thể loại bỏ nhu cầu của bạn để thực hiện phân tích trên máy của riêng bạn. Dưới đây là một vài trang web để xem:
[.__.] - Threatexpert.com
[.__.] - anubis.iseclab.org
[.__.] - virustotal.com

19
Ormis

Tài liệu Security + có nghĩa là gì cho đến nay phần mềm độc hại đã không thể thoát khỏi hộp cát của VM thông qua việc khai thác thực tế rằng đó là VM và bằng cách nào đó đánh vào trình ảo hóa. Các cơ chế khác, chẳng hạn như lan truyền trên một mạng chia sẻ, giống như nếu đây là các hộp vật lý khác nhau.

7
K. Brian Kelley

Chúng không hoàn toàn an toàn, như đã được chứng minh với khai thác này:

VENOM, CVE-2015-3456, là một lỗ hổng bảo mật ảnh hưởng đến một số nền tảng ảo hóa máy tính phổ biến, đặc biệt là Xen, KVM, VirtualBox và máy khách QEMU bản địa.

Lỗ hổng này có thể cho phép kẻ tấn công thoát khỏi giới hạn của một máy khách ảo (VM) bị ảnh hưởng và có khả năng có được quyền truy cập thực thi mã vào Máy chủ. Thêm chi tiết về lỗ hổng có thể tìm thấy ở đây.

5
goodguys_activate

Tôi nghĩ rằng khẳng định của tác giả là không hoàn toàn đúng. Trên thực tế, có hai loại hypanneror trong khu vực ảo hóa. Hypervisor là một phần mềm, phần sụn hoặc phần cứng máy tính mà tạo ra chạy máy ảo s. Những loại đó là:

  • Trình siêu giám sát loại 1
  • Trình siêu giám sát loại 2

Trình ảo hóa loại 1 chạy trực tiếp trên phần cứng của Máy chủ để kiểm soát phần cứng và quản lý hệ điều hành khách. Vì lý do này, đôi khi chúng được gọi là kim loại trần hypannerors trong khi Trình ảo hóa loại 2 chạy trên hệ điều hành thông thường giống như các chương trình máy tính khác làm. VMWare hoặc VirtualBox là ví dụ về trình ảo hóa Loại 2 vì chúng được chạy dưới dạng chương trình trong Máy chủ [~ # ~] os [~ # ~ ] s.

Đối với các trình siêu giám sát loại 2, có RoboLinux dự án có một tính năng duy nhất được gọi là Máy ảo tàng hình . Stealth VM trình cài đặt phần mềm cho phép bạn xây dựng bản sao Windows 7 chạy trong phân vùng Linux an toàn . Hệ thống được bảo vệ khỏi phần mềm độc hại, mọi thứ bạn tải xuống sẽ được chứa w trong máy ảo và nó dành cho những người phải có chương trình Windows cụ thể với sự tiện lợi của việc có thể khôi phục hệ điều hành như mới chỉ trong hai lần nhấp chuột.

Hệ điều hành Qubes được phát triển trên Linux Xen làm ví dụ cho các trình siêu giám sát loại 1. Hệ điều hành Qubes thực hiện một cách tiếp cận được gọi là bảo mật bằng cách ly , trong ngữ cảnh này có nghĩa là giữ cho những việc bạn làm trên máy tính của bạn được cách ly an toàn trong các VM khác nhau sao cho một VM bị xâm phạm sẽ không ảnh hưởng đến các máy ảo khác. Không giống như các trình ảo hóa Loại 2, nó có bảo mật hệ thống truyền tệp liên VM để xử lý rủi ro chia sẻ thư mục. Về lý thuyết, tổ chức đó an toàn hơn ảo hóa Loại 2 theo các nhà phát triển.

Nói tóm lại, tác giả nên chỉ ra hypanneror hoặc hệ thống ảo.

Tài liệu tham khảo :

4
JackSparrow

Quan tâm và liên quan, cuộc thi bảo mật "Pwn2Own" năm 2016 là một trong những cuộc thi của nó, thoát khỏi máy ảo VMWare Workstation. (Những người khác bao gồm thoát khỏi hộp cát trình duyệt hoặc tiếp quản máy vật lý). Điều đó sẽ cho một ý tưởng rằng 1) ít nhất là hợp lý và 2) nếu dễ thì chúng ta có cách để nghe nó - chỉ cần kiểm tra kết quả :)

Nói chung, VM bảo mật về lý thuyết có thể được thoát theo nhiều cách. Ví dụ -

  • Các lệnh và API của Guest to Host (ví dụ: các công cụ VMware)

  • Các điểm yếu có thể khai thác trong chính Hệ điều hành máy chủ không được giảm thiểu bằng cách chạy trong quy trình VM (nếu một số cuộc gọi của hệ điều hành khách bị đánh giá sai là "an toàn" và được người lái máy khách chuyển trực tiếp đến Hệ điều hành máy chủ hoặc trình điều khiển thiết bị cho tốc độ, nhưng một khai thác tồn tại)

  • Lỗi trong trình điều khiển của nhà cung cấp hoặc mã nhà cung cấp (ví dụ: Trình điều khiển máy chủ cho phép bắc cầu mạng cho HĐH khách; có lẽ lỗi trong đó có thể cho phép các cuộc gọi hoặc mã được thực hiện trên Máy chủ ở cấp hạt nhân).

  • Các lỗ hổng do các phần mềm khác trên Máy chủ lưu trữ (ví dụ có thể xảy ra - nếu phần mềm chống vi-rút cục bộ chặn tất cả lưu lượng truy cập mạng từ Máy chủ để quét và lưu lượng khách được quét như một phần của điều đó (trái ngược với bị bỏ qua do ảo NIC thiết bị), khi đó, lỗ hổng của công cụ a/v đối với lưu lượng truy cập hoặc gói độc hại có thể có khả năng cho phép lưu lượng truy cập bắt nguồn từ VM để thoát khỏi Máy chủ)

  • Cấu hình xấu bởi người dùng (Tệp máy chủ được ánh xạ hoặc không đủ an toàn/tách biệt để khách có thể tiếp cận với họ)

Phạm vi tồn tại, và sự phổ biến của nó chắc chắn đang được kiểm tra tích cực để khai thác. Chắc chắn lỗ hổng nếu không khai thác sẽ thường xuyên được tìm thấy và cần vá.

4
Stilez