VirtualBoxシステムを完全に分離

tag-icon tag-icon security virtualbox
VirtualBoxシステムを完全に分離

VirtualBoxを使用してホストコンピュータにアクセスできないソフトウェアをいくつかインストールしたいと思います(その逆も同様です)。しかし、私はまた、ゼロデイエクスプロイトを試してみて、彼らが何をすることができるかを調べるなど、より「危険な」ことを試みる可能性も想像しています。

仮想マシンはホストからどのくらい隔離されていますか?私(またはできる私? )ゲストとホストの間にファイアウォールを設定しますか?ゲストアドインにセキュリティリスクがありますか?共有ディレクトリはどうですか?

現在、コンピュータはGNU / Linux Debianテストを実行しています。

答え1

この質問は非常に広範で独創的な研究がほとんどなく、この答えをそのような質問に対する励ましとして受け入れてはならないという点から始めましょう。代わりに、この答えはマルウェア分析を始めたばかりの人に非常に基本的なセキュリティのヒントを提供することを願っています。

以前に研究された既知のマルウェアを実行していると仮定すると、環境を分離する方法は、そのマルウェアの機能によって大きく異なります。次に適用されるいくつかの一般的な規則最大最新のマルウェアは次のことができます。

  • 仮想マシンをインターネットから隔離します。これは、ゲストシステムへのインターフェイス配信を確立することなく、マルウェアが予測不可能なタスクを実行するように指示する可能性のあるコマンドおよび制御ノードと通信するのを防ぐのと同じくらい簡単です。

  • 適切なハイパーバイザーを使用してください。 VirtualBox、HyperV、QEMU、macOSなど、市場に出回っている主な製品のHypervisor.frameworkいくつかはマルウェアのアクティブターゲットであり、バージョンによってはゲストコンピュータで発生するマルウェアの発生に対して脆弱です。

  • ゲストアドインを絶対にインストールしないでください、または他のプラットフォームのそれに対応するもの。この種のソフトウェアの文字通りの目的は、ゲストとホスト間の統合を作成し、2つの間の分離を効果的に弱めることです。私はマルウェアの研究者ではありませんが、そのような表面を特別に標的とするマルウェアがなければ驚きます。

いくつかのポイントを直接解決するには:

仮想マシンはホストからどのくらい隔離されていますか?

この時点で、仮想マシンはかなり完全に分離することができますが、特定の機能はまだハイパーバイザー保護がほとんどなくホストを介して直接移動する必要があります。KVMではなくほとんどの仮想マシン(VirtualBoxなど)共有しないホストオペレーティングシステムを含むカーネル。これだけで、多数のエクスプロイトクラスのブロッカーとして機能することができます。点は注目に値します。

ただし、仮想マシンにはまだホストハードウェア内にプロセススペースがあります。一般的に言えば最新のオペレーティングシステムは優れたプロセススペース分離を提供するため、これは危険ですが、まだ非常に低いレベルの攻撃(攻撃など)を悪用するために使用される可能性があります。ハンマー、プロセスは、自分が所有していない隣接するメモリブロックを読み取ることができるまで、特定の方法でメモリに順次書き込みます。つまり、プロセス間のメモリリークを効果的に許可します。

あらゆる種類のI / Oを実行しようとすると、分離がある程度消える傾向があることにも注目する価値があります。入力と出力は必然的にパススルーを意味し、これはホスト操作を実行するために使用できる攻撃面を公開します。これには、マウスとキーボードのHIDパススルー、ネットワークパススルーなどが含まれます。ただし、通常、これはVMのI / Oパススルー実装によって異なります。

ゲストとホストの間にファイアウォールを設定する必要がありますか(または設定できますか?)

状況によって異なりますが、通常悪い考えではありません。ハイパーバイザーレベルのファイアウォールは、ほとんどの主要プラットフォームでサポートされています。これらはすべて最大ホストのファイアウォールほど許容可能であり、その逆も同様です。最大LAN または VLAN はファイアウォールと同じように許可されます。これを利用するには、仮想ネットワークインターフェイスを切断してネットワークアクセスを完全にブロックするよりも、選択したマルウェアターゲットがどのポートとホストであるかを調べ、そこから移動することをお勧めします。

ゲストアドインにセキュリティリスクがありますか?

はい。ホストとゲスト間のあらゆる種類の統合を可能にし、何が開いているかを確認できる公開仕様が常にあるとは限りません。

共有ディレクトリはどうですか?

どうするかによって異なりますが、一般的に悪い考えです。。多くのハイパーバイザーは、そのディレクトリにルートがあるゲストコンピュータにインストールされている仮想ドライブを作成してこれを行います。このメカニズムの実装(フレームワークによって多少異なる場合があります)によっては、テストするマルウェアによっては安全である場合もあり、安全ではない場合もあります。

私が心配しているのは、これについてほとんど調査していないため、最終的にはコンピュータやデータが破損する可能性があることです。続行する前に、汎用オペレーティングシステム(KVM)のさまざまな分離メカニズムとこれらのメカニズムがより高いレベルの仮想化フレームワーク()、コンテナ()とchrootメカニズム()等)、各方法が適切な時期、できることとできないこと。これにより、適切に隔離された環境でマルウェアを安全に使用できるかどうかをよりよく判断できます。

最後に、新しいまたはよく知られていないマルウェアを使用しようとしないでください(経験豊富なセキュリティ研究者でない限り、この回答は経験豊富なセキュリティ研究者を対象としたものではありません)。悪意のある行為者は極度に彼らは何を搾取してどのように活用するかについて創造的です。これを理解するには、最近のDEFCON講演を確認してください。いいえ社会工学を中心にしたり、機械的手段を通じて物理的アプローチを得ることです。

関連情報