Apakah mesin host saya sepenuhnya terisolasi dari mesin virtual yang terinfeksi virus?

52

Jika saya menjalankan mesin virtual Windows 7 pada host Windows 7 menggunakan VMWare atau VirtualBox (atau apa pun) dan mesin virtual itu benar-benar dipenuhi dengan virus dan perangkat lunak berbahaya lainnya, haruskah saya khawatir dengan mesin host saya?

Jika saya memiliki program anti-virus pada mesin host, apakah ia akan mendeteksi masalah?

Diogo
sumber

Jawaban:

57

Apa yang terlewatkan oleh setiap jawaban sejauh ini adalah bahwa ada lebih banyak vektor serangan daripada hanya koneksi jaringan dan berbagi file, tetapi dengan semua bagian lain dari mesin virtual - terutama dalam hal virtualisasi perangkat keras. Contoh yang baik dari ini ditunjukkan di bawah (ref. 2) di mana OS tamu dapat keluar dari wadah VMware menggunakan port COM virtual yang ditiru.

Vektor serangan lain, yang biasanya disertakan dan kadang-kadang diaktifkan secara default, pada hampir semua prosesor modern, adalah virtualisasi x86 . Meskipun Anda dapat berargumentasi bahwa mengaktifkan jaringan pada VM adalah risiko keamanan terbesar (dan memang, itu adalah risiko yang harus dipertimbangkan), ini hanya menghentikan virus agar tidak ditularkan bagaimana mereka ditransmisikan pada setiap komputer lain - melalui jaringan. Inilah yang digunakan untuk perangkat lunak anti-virus dan firewall Anda. Yang telah dibilang...

Ada wabah virus yang sebenarnya dapat "keluar" dari mesin virtual, yang telah didokumentasikan di masa lalu (lihat referensi 1 dan 2 di bawah untuk detail / contoh). Sementara solusi yang dapat diperdebatkan adalah dengan menonaktifkan virtualisasi x86 (dan membuat kinerja berjalan dengan mesin virtual), setiap perangkat lunak anti-virus modern (yang layak) harus dapat melindungi Anda dari virus ini dengan alasan terbatas. Bahkan DEPakan memberikan perlindungan sampai batas tertentu, tetapi tidak lebih dari saat virus akan dieksekusi pada OS Anda yang sebenarnya (dan tidak dalam VM). Sekali lagi, dengan memperhatikan referensi di bawah ini, ada banyak cara malware dapat keluar dari mesin virtual selain dari adapter jaringan atau virtualisasi / terjemahan instruksi (mis. Port COM virtual, atau driver perangkat keras lain yang ditiru).

Yang lebih baru adalah penambahan I / O MMU Virtualisasi ke sebagian besar prosesor baru, yang memungkinkan DMA . Tidak diperlukan ilmuwan komputer untuk melihat risiko mengizinkan mesin virtual dengan memori langsung virus dan akses perangkat keras, selain dapat menjalankan kode langsung pada CPU.

Saya menyajikan jawaban ini hanya karena semua yang lain menyinggung Anda untuk percaya bahwa Anda hanya perlu melindungi diri Anda dari file , tetapi membiarkan kode virus untuk langsung berjalan pada prosesor Anda adalah risiko yang jauh lebih besar menurut saya. Beberapa motherboard menonaktifkan fitur-fitur ini secara default, tetapi beberapa tidak. Cara terbaik untuk mengurangi risiko ini adalah dengan menonaktifkan virtualisasi kecuali Anda benar-benar membutuhkannya. Jika Anda tidak yakin apakah Anda membutuhkannya atau tidak, nonaktifkan saja .

Meskipun benar bahwa beberapa virus dapat menargetkan kerentanan dalam perangkat lunak mesin virtual Anda, tingkat keparahan ancaman ini meningkat secara drastis ketika Anda mempertimbangkan prosesor akun atau virtualisasi perangkat keras, terutama yang memerlukan tambahan emulasi sisi host.


  1. Bagaimana memulihkan instruksi x86 tervirtualisasi oleh Themida (Zhenxiang Jim Wang, Microsoft)

  2. Lolos Workstation VMware melalui COM1 (Kostya Kortchinsky, Tim Keamanan Google)

cp2141
sumber
2
Terima kasih, Anda mendapat jawaban terbaik dan terlengkap sampai sekarang (yang meliputi referensi dan beberapa teori dasar tentang subjek). Terima kasih.
Diogo
4
Artikel yang ditautkan dari teks "telah didokumentasikan di masa lalu" tidak ada hubungannya dengan keluar dari VM . (ini tentang virtualisasi x86 untuk kebingungan malware, dan rekayasa balik semacam itu)
Hugh Allen
@HughAllen baru saja membaca artikel dan akan mengomentari hal yang sama persis. Tidak benar-benar menanamkan kepercayaan bahwa penjawab tahu apa yang dia bicarakan, bukan?
developerbmw
@HughAllen Saya telah menambahkan contoh baru untuk menunjukkan bahwa masalah ini memang nyata. Dalam kasus ini, eksploit menangani secara khusus dengan VMWare, tetapi Anda dapat dengan mudah menemukan pengungkapan lain di berbagai situs web keamanan.
Terobosan
@ Brett Saya pikir OP menyebutkan artikel visualisasi untuk menunjukkan bahwa penerjemah / penerjemah itu sendiri dapat disalahgunakan untuk memanipulasi instruksi apa yang sedang dieksekusi sisi host. Perhatikan juga bahwa itu hanya abstrak / ringkasan artikel itu sendiri dan bukan artikel lengkapnya. Sepertinya saya tidak dapat menemukan versi lengkap, tetapi akan dikirim di sini jika saya berhasil menemukan salinannya.
Terobosan
17

Jika Anda menggunakan folder bersama atau memiliki segala jenis interaksi jaringan antara VM dan host maka Anda memiliki sesuatu yang berpotensi dikhawatirkan. Secara potensial, maksud saya bahwa itu tergantung pada apa kode jahat sebenarnya.

Jika Anda tidak menggunakan folder bersama dan tidak mengaktifkan jaringan apa pun, Anda akan baik-baik saja.

Anti-virus pada mesin host Anda tidak akan melakukan pemindaian dalam VM Anda kecuali Anda memiliki hal-hal yang dibagikan.

squillman
sumber
1
Saya pikir OP bertanya apakah anti-virus akan mendeteksi apa pun yang membuat itu jalan keluar untuk menginfeksi host, dalam hal ini seharusnya (jika itu sesuatu yang dapat dideteksi AV). Adapun yang aman jika terisolasi, pasti ada perangkat lunak yang dapat mendeteksi berada di dalam VM (alat VM untuk satu, tetapi juga mencari "redpill vm"), dan ada pekerjaan (dan mungkin malware yang sebenarnya sekarang) yang dapat melompat keluar dari VM (lihat "bluepill vm").
Synetech
7
Walaupun ini benar, Anda lupa tentang apa yang terjadi ketika virtualisasi x86 diaktifkan. Ada virus yang ada yang dapat keluar dari mesin virtual Anda dengan cara ini, terlepas dari apakah Anda bahkan memiliki pengontrol jaringan yang diinstal pada VM.
cp2141
Perlu juga dicatat bahwa mesin virtual melakukan lebih banyak emulasi / virtualisasi daripada hanya koneksi jaringan (mis. Memecah VM melalui port COM virtual yang ditiru ), menyediakan lebih banyak vektor untuk mencoba mengendalikan sistem host.
Terobosan
7

Jika VM terinfeksi virus yang ditargetkan mengeksploitasi Perangkat Lunak VM seperti VMWare Tools, itu mungkin bisa keluar, tapi saya tidak berpikir ada yang mampu melakukan hal ini saat ini. Itu juga bisa mengeksploitasi host melalui jaringan jika host rentan.

Anti-virus pada sistem host seharusnya tidak melihat virus di VM kecuali mereka duduk di folder bersama.

Riguez
sumber
4
Ada beberapa eksploitasi melayang di sekitar yang melakukan ini. Orang dapat menggali sendiri melalui VMware Security Advisories dan menemukan beberapa: vmware.com/security/advisories Vendor lain juga memiliki masalah.
Brad
@Brad, Pemandangannya terlalu kecil. Tentu saja akan ada virus khusus VMware, mereka memintanya dengan mengambil seluruh pai untuk diri mereka sendiri.
Pacerier
1

Seharusnya tidak apa-apa, matikan saja akses ke file sharing dan bunuh nic di dalam VM setelah periode infeksi awal.


sumber