Quali sono i rischi delle esclusioni antivirus per i file delle macchine virtuali?

Naviga le tue risposte
11

Per motivi di prestazioni, desidero autorizzare i seguenti file da una protezione AV:

  • .vmdk (file del disco virtuale VMWare);
  • .lck (file di blocco VMWare per coerenza del disco, creato nella stessa directory del file .vmdk);
  • .vmsn (file di istantanee della macchina virtuale);
  • .vmem (istantanea della memoria della macchina virtuale, creata durante la creazione di istantanee mentre la macchina è accesa).

Ci sarebbero effetti negativi dell'esclusione di questi file dalla protezione runtime sulle workstation dei dipendenti (non in ambienti di produzione o test, solo PC)?

Credo che il rischio sia piuttosto basso, ma vorrei ricontrollarlo.

    
posta boleslaw.smialy 28.09.2016 - 11:34
fonte

2 risposte

7

Posso pensare ai seguenti punti:

  • Un file dannoso potrebbe essere archiviato usando questa estensione. Non è impossibile che il tuo hypervisor contenga un bug che potrebbe portare a un exploit una volta caricato un file di memoria. Potenzialmente, il tuo AV potrebbe essere in grado di rilevare un file così problematico prima di avere il tempo di applicare patch all'hypervisor, riducendo la finestra di vulnerabilità.
  • Il tuo AV potrebbe essere in grado di capire il formato di questi file e cercare in essi file potenzialmente dannosi. Non sono a conoscenza di alcun prodotto che lo faccia ma non ho guardato molto lontano (e non sono eccessivamente interessato a tale "caratteristica").
  • È possibile che il motore euristico AV possa effettivamente rilevare una qualche forma di malware direttamente nei file mentre non sono in uso (molto probabilmente shellcode).
  • A seconda di come funziona l'AV, se i file sono archiviati su un file system NTFS, un file dannoso potrebbe essere memorizzato come flusso di dati alternativo per uno di questi file, quindi l'AV potrebbe anche saltare l'ADS collegato al file escluso.

IMNSHO, penso che i rischi di cui sopra valgono la pena dare visto il costo elevato delle prestazioni della scansione in accesso dei file VM (che tende ad essere enorme).

    
risposta data 28.09.2016 - 13:08
fonte
1

Questo è un problema comune nel mondo Windows: i tipi di file sono normalmente indicati dalle estensioni di file, quindi sembra una buona idea dire all'antivirus di ignorare alcune estensioni. Può davvero velocizzare le cose, ma pensa a quello scenario:

  • su una macchina Chiedo a AV di non eseguire la scansione dei file txt perché so che i file di testo non contengono virus
  • una persona malvagia mi dà una chiave USB contenente un mucchio di file jpeg e liste di quei file con commenti nei file txt - uno di quei file txt è infatti un file eseguibile contenente un virus ma rinominato in txt
  • Copia il contenuto della chiave sul mio disco - AV non rileva nulla
  • = > una copia del virus è ora sul mio disco

Un peggio peggiore sarebbe se la chiave contenesse una versione pulita di un'applicazione installabile per sfogliare i file, e se il proprietario della chiave spiega che l'installazione è terribilmente complessa e si interrompe quando un anti-virus è attivo (pensa di alcuni prodotti Pinnacle ...) ma ha messo un file batch che lo automatizza: nel mezzo del file batch, rinomina il file di testo falso e lo esegue ...

Nell'esempio precedente, sostituisci txt con vmdk e capirai perché le regole che impediscono all'AV di ignorare l'estensione conosciuta abbassano effettivamente il livello di sicurezza.

Quando possibile, prefere di dire all'AV di ignorare cartelle specifiche o anche file specifici migliori

    
risposta data 28.09.2016 - 14:52
fonte

Leggi altre domande sui tag

La perdita di odierna Shadowbrokers influisce sull'utente medio di Windows? Perché alcune DLL non sono randomizzate? Cosa rende difficile la distribuzione completa di ASLR per tutte le DLL?