Come funziona un root kit all'interno di una macchina virtuale?

8

Nella mia classe, stiamo discutendo i rootkit basati su macchine virtuali.

Ho effettuato ricerche sui rootkit, ma non sono riuscito a trovare alcuna informazione che parlava specificamente di come i rootkit funzionano all'interno delle macchine virtuali

Qualcuno può spiegarmi in poche parole in che modo un utente malintenzionato trasporta un attacco rootkit contro la macchina virtuale e come implementerebbe servizi maligni o qualcosa riguardo a come l'installazione di un root kit in una macchina virtuale è diversa rispetto a una macchina fisica?

    
posta user45738 06.05.2014 - 18:31
fonte

3 risposte

13

Come affermato sopra, i rootkit funzionano in modo simile su un host virtuale come fanno su un normale host TRANNE che molti autori di malware / virus / rootkit hanno sviluppato meccanismi per rilevare se sono o meno in un macchina virtuale, in modo che possano essere programmati / programmati per comportarsi in modo diverso rispetto a un normale computer.

Ciò è molto evidente quando il malware di reverse engineering, in cui il malware si comporta in modo diverso se rileva che è virtualizzato. Alcuni dei comportamenti potrebbero essere l'interruzione delle normali routine / funzioni, provare a cancellarsi. Questo è simile al controllo del malware per verificare se un host sta eseguendo strumenti di reverse engineering, ad es. IDA Pro, OllyDBG, Immunity Debugger, Redline, ecc.

VMWare ha un " antirootkit " approccio a determinate cose dal momento che l'agente VMware controllerà cose come le modifiche a SSDT e IDT (tabella dei descrittori dei servizi di sistema e tabelle dei descrittori degli interrupt). Alla fine della giornata però, il comportamento è MOSTAMENTE lo stesso.

    
risposta data 06.05.2014 - 20:16
fonte
3

Non è abbastanza chiaro dalla tua domanda, ma sembra che tu abbia potuto discutere di malware programmato per "fuggire" dalla macchina virtuale e influenzare la macchina host. Ci sono attacchi che sono più focalizzati sulle macchine virtuali; potrebbe essere possibile influenzare altre macchine virtuali oltre al guest in cui viene eseguito il malware.

Ad esempio, l'attacco " pillola blu " e altre forme di "hyperjacking ". Potresti anche essere in grado di sfruttare i servizi che sarebbero in esecuzione solo su una macchina virtuale.

Tuttavia, in molti casi un kit di root tradizionale verrà eseguito anche su una macchina virtuale.

    
risposta data 06.05.2014 - 23:24
fonte
1

Funzionano esattamente come fanno in una macchina normale. Differenza zero. Il root kit potrebbe infettare i file chiave all'interno del sistema operativo e potenzialmente la partizione di avvio. Questi principi si applicano sia alle macchine fisiche che a quelle virtuali. Un server regolare ha i file di sistema principali nel sistema operativo e una partizione di avvio, una macchina virtuale ha i file di sistema principali nel sistema operativo e una partizione di avvio. La maggior parte dei rootkit all'interno di una macchina virtuale non sono consapevoli del fatto che si trovano su una macchina virtuale, in quanto tali infettano semplicemente la macchina virtuale e non il server fisico che la ospita.

Quanto sopra riguarda solo i rootkit standard. Esistono exploit speciali e rootkit che non solo infetteranno la macchina virtuale ma la macchina che lo ospita, cercheranno bluepill e virtualizzazione per questo.

    
risposta data 06.05.2014 - 19:45
fonte

Leggi altre domande sui tag