In escaping del rilevamento delle intrusioni di tipo Virtualbox?

2

C'è un modo per eseguire il rilevamento delle intrusioni se qualcosa tenta di uscire da Virtualbox?

Grazie.

    
posta Smiith 25.03.2017 - 00:49
fonte

1 risposta

2

In senso generale, puoi farlo con gli strumenti di sicurezza standard. Nota: sarebbe difficile conoscere TUTTI i modi per rilevarlo dalla VM prima che si verificasse un simile attacco dopo che è stato ottenuto accesso al sistema operativo host dove sarebbe molto più facile da rilevare.

Per rilevare un programma mentre sta tentando di scappare, è necessario monitorare il sistema operativo della VM.

Per rilevare le cose che sono sfuggite si controllerebbe il sistema operativo host. Quindi il posizionamento degli strumenti è importante e relativo al modo in cui hai posto la tua domanda.

Detto questo, supponendo che tu sia severo riguardo al tuo utilizzo del sistema operativo host essendo dedicato esclusivamente allo scopo di ospitare VirtualBox VM, sarebbe facile impostare un sacco di sistemi di monitoraggio sul sistema operativo Host per cercare comportamenti anomali. È anche possibile aumentare i livelli di registrazione perché il software VirtualBox dovrebbe essere l'unica cosa realmente attiva sul sistema OS host. Ciò semplifica l'accesso da parte dell'utente / sistema e altri tipi di attività SE non stai eseguendo altre operazioni sul sistema operativo host.

In teoria, se non stai facendo molto con il sistema operativo di base, allora i pattern anormali di utilizzo che si verificherebbero se qualcuno avesse iniziato ad accedere al sistema operativo host sarebbe facile da individuare. Ciò detto se questo fosse il tuo computer portatile primario creerà molto rumore nei registri che renderà questo molto più difficile da fare.

Gli strumenti IDS / IPS / Altro e di sicurezza, in particolare gli strumenti di sicurezza del sistema operativo che monitorano le chiamate di sistema , possono essere facilmente posizionati sia sul sistema operativo VM sia sul sistema operativo host, quindi se gli attacchi si stanno pensando possono essere rilevati e non sono veri exploit Zero-day, quindi dovrebbero essere rilevati quando si utilizzano sistemi di rilevamento / prevenzione delle intrusioni configurati in modo appropriato.

    
risposta data 25.03.2017 - 07:52
fonte

Leggi altre domande sui tag