web-dev-qa-db-ja.com

ゲスト仮想マシンは、ホストマシン上のウイルスに感染する可能性がありますか?

すべての質問は、その逆、つまり仮想マシンがホストを侵害する可能性があります。しかし、私はホストマシン上のウイルスがゲスト仮想マシンを危険にさらすことができるのかと尋ねています。

16
VirtualMachine

はい、できます。

仮想マシンの仮想ハードドライブに保存されているデータは、ホストシステムのハードドライブに保存されます。 VMが「一時停止」状態になると、そのVMのRAM=コンテンツもホストのハードドライブに保存されます。これらのファイルにアクセスできるマルウェアは、コンテンツを読み取って変更することができます。

もう1つの攻撃方法は、ハイパーバイザープロセスを直接ターゲットにして、そこにコードを挿入することです。ハイパーバイザーを制御するとき、ハイパーバイザーが実行する仮想マシンを制御します。

Crisis と呼ばれるマルウェアが、実行されているマシン上の仮想マシンイメージをターゲットとする野生で発見されました。ホストシステムからの攻撃は、ゲストシステムが持つことができるほとんどのセキュリティ機能を回避します。つまり、この種の攻撃に対してゲストシステムを強化することはほとんど不可能です。

27
Philipp

ウイルスがホストマシン上にあり、通常/特権ユーザーとして動作し、そのマシンの通常/特権ユーザーが仮想マシンを使用できる場合、ウイルスが仮想マシンのプライベートデータを危険にさらすのを防ぐ方法はありません。

12
dr jimbob

仮想マシンのセキュリティモデルはゲストをホストから保護または分離しません。逆に、ゲストへのアクセスは多くの方法で促進されます。共有リソース(入力デバイス、ストレージなど)

あなたが話しているウイルスはそれほど目立たないので、それが起こったときに目立つようになるという目立たないです。 alotofmediacoverage があったとき、仮想ゲストに最初に感染したマルウェア2012年に初めて発見されました。

Crisisは、WindowsベースのPCに遭遇すると、VMware仮想マシンイメージを積極的に検索します。マルウェアが見つかると、マルウェアはVMware Playerを使用して自分自身をイメージにコピーします。

VMwareソフトウェア自体の脆弱性を使用せず、すべての仮想化ソフトウェアの属性を利用します。つまり、仮想マシンはホストマシンのディスク上の単なるファイルまたは一連のファイルです。これらのファイルは、仮想マシンが実行されていない場合でも、通常は直接操作またはマウントできます。

その目的は、最大限の情報を盗むために、できるだけ多くのシステムに侵入することです。

感染の数が少なく、その地理的分布が広い場合、このマルウェアが広範囲にわたる攻撃ではなく、標的型攻撃に使用されている可能性があります。

3
Cristian Dobre