C'è un modo per identificare l'host di una VM malevola da tutta la rete?

5

Scenario:

Qualcuno sta attaccando la tua rete. Tuttavia, non stanno usando esattamente la loro macchina per farlo - stanno usando una VM in esecuzione sul loro sistema. La scheda di rete della VM è configurata in "modalità bridged" in modo che la VM abbia il proprio indirizzo IP e funzioni efficacemente sulla rete come una macchina separata dal sistema host.

Domande:

Senza camminare fisicamente fino al sistema dell'attaccante e utilizzando solo le informazioni disponibili attraverso la rete, ci sono modi per determinare:

  • Che l'aggressore sta utilizzando una macchina virtuale?
  • Quale macchina sulla rete è il sistema host?
posta Iszi 11.05.2011 - 09:06
fonte

3 risposte

7

Non dici perché ti interesserebbe se l'attaccante sta usando una VM. Direi che è irrilevante. È solo una distrazione. Quindi annullerei quella parte della domanda.

Per quanto riguarda il modo di dire quale computer della rete è il sistema host, la tua capacità di farlo in questa situazione speciale è buona come la situazione in cui non c'è VM. Sono disponibili i registri DHCP e ARP. Se riesci a identificare l'indirizzo IP, vai al tuo switch Ethernet e trova la porta fisica a cui è collegato l'indirizzo IP, quindi fai una passeggiata verso quella porta e provaci. Non dimenticare di portare il tuo indizio.

    
risposta data 11.05.2011 - 10:18
fonte
7

Prima di tutto, presumo che tu abbia già localizzato l'indirizzo IP dell'aggressore, usando ad esempio un IDS. In questo caso:

  • Ci sono modi per determinare che l'utente malintenzionato stia utilizzando una macchina virtuale?

Un modo in cui posso pensare, purché tu abbia l'IP, è trovare il MAC dell'attaccante. Solitamente indicherà il produttore, che sarà vmware o altri simili. nmap può essere usato per questo tipo di fingerprinting.

  • Ci sono modi per determinare Quale macchina sulla rete è il sistema host?

Questa è una domanda davvero interessante - e non ho una risposta, e non sono sicuro che esista. Suppongo che tu possa localizzare il segmento di rete se disponi di un'infrastruttura di commutazione adeguata, non so se puoi fare qualcosa di più rispetto a quello remoto.

Naturalmente, se sei veramente determinato, puoi provare a trovare l'IP nel modo opposto: Supponendo che tu abbia un interruttore gestito, prova a bloccare gli indirizzi MAC sulle porte, uno per uno. Alla fine smetterai di comunicare con l'ospite, quando blocchi l'indirizzo mac del suo host sulla porta dello switch. Dovresti anche essere in grado di vedere se più di un indirizzo mac è collegato a una porta, se si utilizza un interruttore decente (purtroppo non ho un collegamento disponibile, ma ho letto di funzionalità come quella).

    
risposta data 11.05.2011 - 17:33
fonte
3

Essenzialmente la risposta dipende dalla possibilità di vedere l'indirizzo MAC della VM.

Se è possibile ottenere l'accesso agli indirizzi MAC degli host che l'utente malintenzionato sta utilizzando (ottenendo l'accesso allo switch a cui è connesso o effettuando la scansione dalla stessa subnet), quindi determinare che una VM è in uso, dovrebbe essere abbastanza semplice in quanto le schede di rete virtuali hanno specifici OUI che sono distintivi (questo è ovviamente presupponendo che l'attaccante non abbia cambiato l'indirizzo MAC per essere meno distintivo)

In termini di rintracciamento, su una rete cablata uno switch gestito può avere la capacità di mostrare su quale porta è acceso un indirizzo MAC (sicuramente gli switch Cisco possono farlo). Se la rete è wireless potrebbe essere un po 'più complicato. È possibile determinare l'AP a cui è connesso il client (sempre supponendo che le informazioni siano rese disponibili dall'AP) e quindi utilizzare uno scanner (ad esempio, kismet) per cercare l'indirizzo MAC dell'attaccante e rintracciarlo fisicamente.

    
risposta data 11.05.2011 - 23:17
fonte

Leggi altre domande sui tag