Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Сможет ли вирус сбежать из виртуальной машины?

Galem333

Автор Galem333,
в Компьютерная помощь

 Share Подписчики 1

Рекомендуемые сообщения

Galem333

Galem333 1

Опубликовано
Опубликовано

Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?

Ссылка на сообщение
Поделиться на другие сайты
dima_kor

dima_kor 18

Опубликовано
Опубликовано (изменено)

Такой сценарий если имеет место быть, то очень маловероятен по определению. Все дело в том, что вирусописатели предвидят запуск вредоносной программы в гостевой ОС, т.е. в виртуальной машине с целью изучения поведения вредоносной программы. На деле это выглядит следующим образом. Перед тем, как принять решение о запуске вредоносного кода, вредоносная программа проверяет, в какой ОС она запущена. Если программа определила, что она запущена в родительской ОС, т.е. на физической машине, то она запускает вредоносный механизм. Если программа определила, что она запущена в гостевой ОС, то во избежании определения вредоносного поведения программы, например, вирусным аналитиком, программа просто-напросто вредоносный механизм не запускает.

Изменено пользователем dima_kor
Ссылка на сообщение
Поделиться на другие сайты
Galem333

Galem333 1

Опубликовано
  • Автор
Опубликовано

Ну, допустим, сценарий, где вирус выполняет вредоносный код на гостевой ОС, и с помощью уязвимостей выходит за пределы виртуальной машины.

Через интернет к примеру.

 

 

Кстати, я хотел уточнить про общий буфер обмена виртуальной машины и реальной ОС: есть ли у вирусов возможность выбраться за пределы виртуальной машины с помощью Drag'n'Drop и Shared Clipboard?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)
20 hours ago, Galem333 said:

бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?

Если расшарить в основной системе папки для записи для всех, то активный вредонос из VM сможет записать, например, червя в расшаренные папки, если же был запущен шифровальщик, то сможет шифровать файлы в основной системе в пределах расшаренных папок. (реальный случай был и весьма поучительный с Teslacrypt)

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Galem333

Galem333 1

Опубликовано
  • Автор
Опубликовано

А это как понять? Если я возьму и открою папку с виртуальной машиной, когда она будет включена, и решу запустить, к примеру, Wanncry на гостевой ОС, то вредонос подумает что он шифрует основную ОС. 

 

Я просто не сильно разбираюсь пока в виртуальных машинах 😅

 

 Только учусь как ими пользоваться. 

Мой придел это был windows sandbox. 

 

 

3 часа назад, Galem333 сказал:

А это как понять? Если я возьму и открою папку с виртуальной машиной, когда она будет включена, и решу запустить, к примеру, Wanncry на гостевой ОС, то вредонос подумает что он шифрует основную ОС. 

Ну то есть те папки которые я запускал на основном пк

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано
46 minutes ago, Galem333 said:

Я просто не сильно разбираюсь пока в виртуальных машинах 😅

Главное в основой системе (на физической машине) не сделайте расшаренных папок для всех.

Ну и WannaCry не надо шутить. Чтобы изучать локальные виртуальные машины не обязательно использовать шифровальщики или вирусные тела. Есть для этого удаленные специализированные сервера.

  • Like (+1) 2
Ссылка на сообщение
Поделиться на другие сайты
Galem333

Galem333 1

Опубликовано
  • Автор
Опубликовано
9 минут назад, Sandor сказал:

От англ. слова Share, то есть те, на которые открыт полный общий доступ.

Ну то есть как я понял это общии папки виртуальной машины и основной ОС. 

Ссылка на сообщение
Поделиться на другие сайты
Galem333

Galem333 1

Опубликовано
  • Автор
Опубликовано

Ну ещё у меня 1 вопрос, на который толком нет ответа в интернете, да и сильно он не поднимался. Где больше всего уязвимостей, в VMware или VirtualBox?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Andreyuser
      Windows server 2012 r2 модель доменной сети конфликт ip адресов
      От Andreyuser
      Здравствуйте, уважаемые эксперты. подскажите мне новичку по настройке модели сетевой доменной конфигурации в virtualbox.
      Установил windows server 2012 r2 и гостевую windows10  на virtualbox. 
      В настройках сети указал СЕТЬ NAT с CIDR 10.0.0.0/20.(скриншот)
      Прописал такие статические настройки ipv4 сервера(скриншот2).
      Сеть получается без доступа в интернет(Неопознанная сеть). А если устанавливаю настройки сервера ipv4 на авто, то доступ в интернет есть. (скриншот3)
      Какие мне настройки ipv4 статические прописать, чтобы сервер выходил в интернет и раздавал гостевой машине windows10 ip адреса из сети 10.0.0.0/20?
       



    • Snaypertipo
      Сеансы пользователей Kaspersky Security для виртуальных сред 5.1. Легкий агент
      От Snaypertipo
      Приветствую!
      Столкнулся с проблемой: на всех без исключения виртуальных машинах в KSC не отображаются сеансы доменных пользователей, работающих в данный момент за устройством.
      Опрос домена производится корректно, физические машины определяются, как и пользователи за ними, а конкретно в случае виртуализации информация отсутствует.
      Может ли на это влиять какая-либо служба в самой ОС ВМ, либо конфигурация золотого образа в VMware vSphere, либо настройки SVM? Подскажите, пожалуйста, в какую сторону смотреть, чтобы исправить эту проблему. 
    • Kilobox
      Kaspersky Agentless на VMware NSX-t, SVM разворачиваются "не до конца"
      От Kilobox
      Привет. Пытаюсь перекатиться с NSX-v на NSX-t
      Действую по инструкциям:
      https://support.kaspersky.ru/15667 https://support.kaspersky.com/help/ksv/6.1/ru-RU/90476.htm И в самом конце получаю интересную картину: все инстансы развернуты, имеют Deployment Status - Up, но Health Status - Down
       
       
      На гипервизорах ESXi в syslog видно, что ВМ не достукиваются до второго интерфейса SVM-ок (который vmservice-vshield-pg):
       
      2022-05-30T14:09:29.849Z ContextMux[18188493]: [WARNING] (EPSEC) [18188493] SolutionHandler[0xdfd0f0e910] failed to connect to solution[7498071167106809856] at [169.254.1.60:48651]: Connection refused (111) for guest[5025611f-c712-4107-2939-b3f96ccfd63d : /vmfs/volumes/627258e3-cd54d7d9-0785-e43d1a9863de/vdi-0051/vdi-0051.vmx] 2022-05-30T14:09:29.849Z ContextMux[18188493]: [ERROR] (EPSEC) [18188493] Solution[7498071167106809856] entry not found in the map when trying to disconnect 2022-05-30T14:09:29.849Z ContextMux[18188493]: [ERROR] (EPSEC) [18188493] Entry not found in map for Solution[7498071167106809856] 2022-05-30T14:09:29.849Z ContextMux[18188493]: [WARNING] (EPSEC) [18188493] SolutionHandler[0xdfd0f0e910] scheduling reconnect to solution[7498071167106809856] at 169.254.1.60:48651 in 30000 ms for guest[5025611f-c712-4107-2939-b3f96ccfd63d : /vmfs/volumes/627258e3-cd54d7d9-0785-e43d1a9863de/vdi-0051/vdi-0051.vmx]  
      Пинг проходит, netcat - нет:
       
      [root@hv-esxi005p:] ping 169.254.1.60 PING 169.254.1.60 (169.254.1.60): 56 data bytes 64 bytes from 169.254.1.60: icmp_seq=0 ttl=64 time=0.159 ms 64 bytes from 169.254.1.60: icmp_seq=1 ttl=64 time=0.129 ms  
      [root@hv-esxi005p:] nc -zv 169.254.1.60 48651 nc: connect to 169.254.1.60 port 48651 (tcp) failed: Connection refused  
      Если открыть SVM через консоль vSphere, видно, что у них даже системного имени не появилось, просто localhost
       

       
      Вход под рутом, который указывался при регистрации службы на стороне KSC также не доступен. То есть всё это похоже на то, что настройка инстансов не завершилась. Но при этом Deployment Status - Up 🤷‍♂️
       
      Единственное, что смутило, в инструкции есть такой момент по настройке сетевых параметров разворачиваемых инстансов
       

       
      Но в моем случае чекбокс возле eth1 серый и не выбирается. Но интерфейс и vmk при этом успешно создаются. Предположил, что это неточность инструкции и "System Configured" интерфейс самонастраивается
       
       
      Версии ПО
       
       
       
    • senglory
      KRD & VMWare Workstation - падает Rescue Tool при проверке файла
      От senglory
      Запускаю проверку одного файла, он проверяется, вися долго на одном файле, а потом окно Rescuq Tool спонтанно исчезает. ЧТо я делаю не так? ISO последний, скачан 02.06.2021

    • senglory
      KRD & VMWare Workstation - kernel panic при старте загрузки с ISO
      От senglory
      ЧТо мне в настройках VMWare поменять надо?

×
×
  • Создать...