Pytanie o wirtualizacje
#1
Cześć z góry mówię ze nie wiem czy dobry dział ale myślę ze w dobrym piszę.
A więc o co mi dokładnie chodzi,moje pytanie brzmi czy testując wirusy na maszynie wirtualnej np Vmware czy Virtualbox czy mogą jakoś wirusy obejść wirtualizacje i dostać się do prawdziwego systemu jednocześnie infekując go ? 
Sorry jeśli to pytanie jest głupie ale chciałbym wiedzieć bo ostatnio zaczęło mnie to ciekawić ale nie mam pojęcia co myśleć więc pytam się obeznanych w tym temacie ludzi Smile
Pozdrawiam i czekam na odpowiedzi Grin
Odpowiedz
#2
Pytanie nie jest głupie Smile Bazując na informacjach z sieci odpowiedź brzmi TAK...jest możliwość przenikania szkodników między zasobami rzeczywistej maszyny i wirtualnej. Tu jest artykuł, który to przybliża
http://www.dlp-expert.pl/articles/id,145...zacji.html
I kilka innych wątków/dyskusji z zagranicznych źródeł
http://superuser.com/questions/289054/is...al-machine
http://security.stackexchange.com/questi...f-security
http://security.stackexchange.com/questi...doing-harm
http://blogs.gartner.com/neil_macdonald/...ulnerable/
https://threatpost.com/virtual-machine-e...612/76979/
http://vsphere-land.com/news/escaping-th...-fear.html
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Tak, jest to możliwe, ale zdarza się bardzo rzadko. Dlaczego? Ataki te to zazwyczaj 0day'e, które są błyskawicznie łatane przez twórców oprogramowania. Co przekłada się mniej więcej na to, że jeżeli występuję to tylko na konkursach typu Pwn2Own, czy konkretnych atakach na firmy używającej np. VMware'a. Wcześniej taki exploit nie jest wypuszczany w sieć, aby po prostu był on wykrywany.

Reasumując, nie masz się czego bać. Można spokojnie testować wirusy na wirtualce, dla osoby prywatnej ucieczka z VMware'a jako bardzo restrykcyjnego sandboxa przez złośliwe oprogramowanie jest niemal równe zeru. Jeżeli natomiast chciałbyś się dowiedzieć, jak wykonywana jest "ucieczka" podam prosty przykład:

Dla procesora nie ma dobrego/złego kodu, jest tylko jakiś ciąg bitów/poleceń do niego wysyłanych, które może wykonać, lub nie. I nie ma różnicy, czy podmienimy komórki pamięci tymczasowej w wirtualnej maszynie, czy zwyczajnej, bo RAM jest po prostu współdzielony. W ten sposób możliwe jest czysto teorytycznie przekazanie złośliwego kodu do hosta.
0x DEADBEEF
Odpowiedz
#4
Czyli najlepszym sposobem na testowanie jest postawienie linuxa jako główny system i wirtualnej maszyny z Windowsem,myślę że takie rozwiązanie było by 100% bezpieczne Grin
A i jeszcze szybkie pytanie czy jak będzie włączony antywirus na prawdziwym systemie podczas testu innego antywirusa na wirtualce to czy może ten prawdziwy mój antywirus zablokować lub wspomagać tam tego testowanego antywirusa ?
Odpowiedz
#5
Powiem tak czy najlepszym rozwiązaniem Linux, nie. Bo możliwość wyjścia jakiegoś wirusa czy czegoś z VMware czy virtualbox jest mała, ale jest możliwa.
Wirusy co niektóre są też takie ze potrafią rozpoznać środowisko wirtualne i się nie aktywują.
Wiec ryzyko jest ale jest znikome, i myślę ze obaw nie powinieneś mieć tylko po prostu zacząć testować. Dla bezpieczeństwa przed zainstalowaniem możesz sobie zrobić kopie swojego hosta, ale nie sadze by coś miało uciec ci z wirtualki, no chyba ze sam to przeniesiesz.

Co do antywirusa, owszem antywirus będący na hoscie, może blokować działania w systemie wirtualnym. Przeważnie działania na linkach.
Dla tego sugeruje przed testem o wyłączenie tobie co niektórych ustawień w antywirusie na twoim systemie.
Odpowiedz
#6
Rozumiem dzięki za odpowiedzi! Smile
Jeśli mogę to zapytam jeszcze o jedno ostatnio czytałem ze istnieją wirusy które uszkadzają np płyte główną poprzez spalenie układów,skasowanie biosu,albo zainfekowanie dysku twardego tak ze nie da się usunąć wirusów nawet przez format to ściema czy prawda ?
Odpowiedz
#7
Cytat:albo zainfekowanie dysku twardego tak ze nie da się usunąć wirusów nawet przez format to ściema czy prawda ?

To jest prawdą, ponieważ wyrafinowane gadziny infekują MBR*, który nie formatuję się wraz z dyskiem i wymagany jest format MBR.

Takie infekcję to np. Win32/Zimuse czy rootkity z rodziny TDL. 

* - https://pl.wikipedia.org/wiki/Master_Boot_Record
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Odpowiedz
#8
Tak.. po za-tym sam system windows wprowadza zmiany w biose przechowując swoje dane na temat legalności samego systemu i nie tylko...
Potem w razie awarii płyty głównej i zmianie na innej czasem trzeba pisać do suportu o aktywowanie ponownie klucza.

Wirusy z reguły da się usunąć ale kluczowy aspekt to ich wykrycie...a pomysłowość hakerów jest spora i dlatego należy roztropnie korzystać z komputeraSmile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#9
Dobrze wiedzieć,mógłby ktoś mi podesłać parę stron z szkodliwymi linkami i paczkami  ? Znam parę takich stron ale przydało by się więcej Smile
Odpowiedz
#10
https://safegroup.pl/temat-paczki-malwar...ki-itp_472

Idź na ostatnią stroną tam masz najnowsze gadziny.
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Odpowiedz
#11
Spoko a masz link do jakiejś strony gdzie jest wrzucane po paręnaście dziennie linków ?
Odpowiedz
#12
Nie, tu jedynie priv. do danej osoby
Odpowiedz
#13
https://safegroup.pl/temat-zrodla-malware-u_5912
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Odpowiedz
#14
(27.04.2016, 18:21)Miszel03 napisał(a): https://safegroup.pl/temat-zrodla-malware-u_5912

O takie coś chodziło dzięki bardzo ! :Grin
A więc na razie nie mam więcej pytań dziękuje wszystkim którzy napisali i zainteresowali się tematem :Smile
Pozdrawiam Erwtokritos.
Odpowiedz
#15
Jak już będziesz testował szkodniki w VM to staraj się nie tworzyć współdzielonych folderów, w ten sposób może własnie dojść do infekcji plików w tym katalogu współdzielonym, między realnym systemem a wirtualnym środowiskiem.
Odpowiedz
#16
Dzięki za rade ale przypuszczałem ze jak współdziele foldery to może dość do nieszczęścia Smile
Odpowiedz
#17
https://zeltser.com/vmware-network-isola...-analysis/

oraz wywal narzędzie od vmware które się instalują po postawieniu systemu.
Restrykcje dla VMware wzmacniam dzięki AppGuard oraz SpyShelter...

Ale tak jak większość osób pisze, najlepiej osobna stacja robocza,cześć inteligentnych paskudztw dostosuje sie do OS i potrafi sie wyłączyć...
Raspberry Pi może być bardzo tanim i wydajnym rozwiązaniem.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#18
hmmm...jednak to testowanie jest dużo bardziej niebezpieczne niż przypuszczałem chodziarz już 2 razy próbowałem testować AVG i Avasta i nic się złego nie stało,ale chyba warto jednak zrobić jeszcze jeden krok do przodu co do tematu izolacji.
Odpowiedz
#19
Kto się boi wilków, do lasu nie chodzi. Ot co!
Przepuściłem masę wirków przez VM i jeszcze mój komp żyje. 
Już nie dziel włosa na czworo, tylko przytul wreszcie te wiruski  Lol
Odpowiedz
#20
Ehhh dobra raz się żyje ! Craze
Teraz mam tylko jeden dylemat bo avast free w ustawieniach ma 3 moduły i najlepiej je wyłączyć wszystkie czy zostawić sobie osłone systemu plików a osłone poczty i www wyłączyć ?
A i jeszcze jedno pobierać Vmware player czy Virtualboxa ? Chyba jestem skazany na Virtualboxa bo Vmware wywala BSOD przy instalacji Windows 7 HP x32bit
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości