VMブラウジングはどの程度安全ですか?
私は通常、すべてのWebブラウジングをVMで行います。 「安全」な1つVMゲストサービスがインストールされているUbuntuを実行しています。通常、ここでは信頼できると思われるサイトにのみアクセスします。
また、ゲストサービスがインストールされていないUbuntuでは「安全でない」VMがあります。
今夜私は、安全でないVMを使用して、迷惑なFBIポップアップの1つが発生したときに、インターネットの風味の悪い領域をいくつか閲覧していました。大したことはありません...そして、ホストマシンからノートンが表示されます。 C:\ Windows\SysWOW64\vmnat.exeのブロックされたアクションでポップアップします。アラート名は「Web Attack:Ransomlock Website 7」で、ポップアップの偽のfbi Webサイトからのものです。これは重要ではない可能性があります...しかし参考までに、私はサーフィンにChrome=を使用していました。
VMware NATシステムを完全には理解していませんが、VMからホストにマルウェアが漏洩した可能性があるように聞こえますか、またはNortonが洞察を持っていますvmnat.exeが呼び出していてVMに送り返していた可能性があります。
私は主にホストが「安全」であることを確認したいだけですが、これがどのように機能するかについても知りたいです。
vmnat.exeは、VMwareの仮想ネットワークサービスです。NATを使用してゲストOSとの間でやり取りされるすべてのネットワークデータは、それを通過します。
ノートンはVM内を見ることができません。代わりに、VM=内のプログラムが何かを実行すると、ノートンは仮想化ソフトウェアがそのアクションを実行しているのを確認します。この場合、仮想化ブラウザが "Ransomlock Website 7"マルウェアをダウンロードしようとしたときに、ノートンはvmnat.exeダウンロードしましたが、データが仮想化されたOSに渡されることはありません。仮想化されたOSは、データを害することはなく、ダウンロードをブロックしました。
はい、攻撃が仮想マシンから抜け出すことは可能ですが、非常にまれです。
最初にVMネットワークに取り組みます。通常、ルーティング可能な外部アドレスは、NATの「外部」です。NATの背後にあるマシンには、通常はルーティングできない「内部」アドレス。
ブリッジモードは、ブリッジしているインターフェイスがスイッチになり、VMがそのポートに接続されているように機能します。すべてが、それに接続されている別の通常のマシンであるかのように動作します通信網。
ブリッジモードでマルウェアが感染すると、ルーティングテーブルが読み取られ、ネットワーク範囲を特定して他のマシンにピボットできます。今感染に来ています。ランサムウェアは、感染するとマシンをロックする典型的なマルウェアです。画面に表示された画像はすべて偽物でした。あなたが気づいたのなら、それはあなたにあなたのコンピュータのロックを解除するためにいくらかの罰金を払うようにあなたに頼んでいるに違いありません。これは、ランサムウェアがお金を盗むために適用するトリックです。ランサムウェアがマシンに到達する方法の1つは、閲覧しているWebサイトがハッキングされ、ブラウザーのエクスプロイトにリダイレクトする非表示のiframeを挿入して、マルウェアをシステムにドロップして実行することでした。さまざまなブラウジングアクティビティ用に個別のVMを使用するのは良いことです。それらをNATネットワークモードで保持している場合、感染はVM内にとどまります。ランサムウェアがホストOSをロックしていた場合に何が起こるか想像できます。
また、[たとえば、VirtualBox(Win)の場合] docker-machineの「デフォルト」イメージは、通常すべての/ Usersを含む共有フォルダを作成するため、これも悪いことになります(確認のために何かが発生していない)、= NATかどうか。それでも、感染によってマウントされた書き込みは、前述のようにアンチウイルスによって停止される可能性があります。