Esattamente quanto è sicura la navigazione in VM?

8

Generalmente faccio tutto il mio browser web in una VM. Ho una VM "sicura" che esegue Ubuntu con servizi guest installati. Solitamente vado in siti che ritengo affidabili qui.

Ho anche una VM "non sicura" con Ubuntu su cui non sono installati i servizi guest.

Questa sera stavo usando la VM non sicura per navigare in alcune aree meno preziose di Internet quando si è verificato uno dei fastidiosi popup dell'FBI. Non è un grosso problema ... e poi vedo che Norton dal mio computer host presenta un'azione bloccata su C: \ Windows \ SysWOW64 \ vmnat.exe. Il nome dell'avviso era "Web Attack: Ransomlock Website 7" e proveniva dal sito Web fbi falso nel popup. Questo potrebbe non essere importante ... ma come FYI stavo usando Chrome per navigare.

Non capisco appieno il sistema VMware NAT, ma suona come il malware potrebbe essere trapelato dalla VM sul mio host, o Norton ha informazioni su ciò che vmnat.exe potrebbe aver chiamato e inviato alla VM .

Voglio principalmente assicurarmi che il mio host sia "sicuro", ma sono anche curioso di sapere come funziona.

    
posta 19.06.2014 - 07:04
fonte

3 risposte

6

vmnat.exe è il servizio di rete virtuale di VMware: tutti i dati di rete che vanno o provengono da un sistema operativo guest utilizzando la rete NAT lo attraversano.

Norton non può vedere all'interno della tua VM. Invece, quando un programma all'interno della VM fa qualcosa, Norton vede il software di virtualizzazione eseguire tale azione. In questo caso, quando il tuo browser virtualizzato ha provato a scaricare il malware "Ransomlock Website 7", Norton ha visto vmnat.exe scaricarlo, ma non ha visto che i dati sarebbero stati trasferiti a un sistema operativo virtualizzato che non poteva essere danneggiato da esso, quindi ha bloccato il download.

Sì, è possibile che un attacco esploda da una macchina virtuale, ma è molto, molto raro.

    
risposta data 19.06.2014 - 07:41
fonte
2

Affrontiamo prima la rete VM. Un indirizzo esterno, solitamente instradabile, è il "fuori" del NAT. Le macchine dietro il NAT hanno un indirizzo "interno" che di solito non è instradabile.

La modalità a ponte funziona come l'interfaccia con cui stai collegando ora è uno switch e la VM è collegata a una porta. Tutto funziona come se fosse un'altra macchina normale collegata a quella rete.

Se ti trovi in una modalità a ponte e un malware lo infetta, allora può leggere la tua tabella di routing e può identificare il tuo intervallo di rete per ruotare su altre macchine.  Ora arriviamo all'infezione. Il ransomeware è un tipico malware che blocca la macchina dopo l'infezione. Le immagini che hai visto sul tuo schermo erano tutte false. Se l'avessi notato, ti chiederà di pagare una multa per sbloccare il tuo computer. Questo è un trucco che il ransomware applica per rubare denaro. Uno dei modi in cui il ransomware ha raggiunto la tua macchina è che il sito web che stavi navigando è stato violato e un iframe invisibile deve essere reindirizzato che reindirizza a un exploit del browser in modo da far cadere ed eseguire il malware sul tuo sistema. È una buona mossa che hai vm separato per diverse attività di navigazione. Se li si mantiene in una modalità di rete NAT, l'infezione rimarrà all'interno della VM. Puoi immaginare cosa sarebbe successo se il ransomeware avesse bloccato il tuo host os.

    
risposta data 20.06.2014 - 12:34
fonte
0

Si noti inoltre che [per esempio con VirtualBox (su Win)] l'immagine "predefinita" per finestra mobile tipicamente crea una cartella di condivisione con tutti gli utenti /, quindi anche quella sarebbe cattiva (e qualcosa per assicurarsi che non stia accadendo ), NAT o no. Comunque quella scrittura scritta da un'infezione sarebbe potenzialmente bloccata dall'antivirus come menzionato prima.

    
risposta data 17.11.2015 - 10:01
fonte

Leggi altre domande sui tag