April 13, 2020

Уязвимости виртуальных машин. Как хакеры выходят за пределы виртуальной среды.

Многие из вас уже установили и настроили виртуальную систему для безопасной работы, открытия подозрительных файлов, документов, веб-сайтов. Виртуальная изоляция – это действительно прекрасный инструмент защиты, но далекий от безупречного. В этой главе мы расскажем, как хакеры и спецслужбы преодолевают барьер в виде виртуальной среды и как защититься от этой угрозы.

Предположим, есть документ, ссылка или приложение, созданные злоумышленником, для получения доступа к вашему устройству и вашим данным. Вы, как разумный человек, запускаете его в виртуальной среде в надежде, что она защитит вас от потенциальной угрозы.

Но на этот раз против вас не скрипт-кидди с попсовым троянчиком, а профессиональный хакер, желающий во что бы то ни стало получить доступ к вашей системе. Для успешной атаки ему надо выйти за пределы виртуальной среды. Давайте рассмотрим, каким образом это возможно. Выход за пределы виртуальной среды при помощи стандартных инструментов VirtualBox Вам, наверное, уже знакомы инструменты для взаимодействия гостевой и хостовой системы, такие как общий буфер обмена, общая папка и Drag'n'Drop.

Это и правда удобно: скопировал в основной системе и вставил в виртуальной или просто перетащил нужный файл из одной системы в другую. Создание моста между гостевой и хостовой системой не самый разумный шаг с точки зрения безопасности.

Надеюсь, вы понимаете, что хакер также сможет воспользоваться этими инструментами для попадания в вашу основную систему. Мы рекомендуем отказаться от них в пользу более безопасных путей передачи данных. Нет, вы не подумайте, что это очень просто – совершить «побег» из виртуальной системы, например при включенном общем буфере обмена, однако это значительно проще, чем без него.

Совет

Откажитесь от использования общей папки, общего буфера обмена и Drag'n'Drop. Хотя это и удобно, но небезопасно

Выход через Wi-Fi роутеры и внешние устройства Вы можете найти в сети немало материалов, как создать виртуальную машину, установить на нее дистрибутив Kali Linux или специальную программу и атаковать Wi-Fi устройства поблизости. Что мешает хакеру, проникнув в вашу виртуальную систему, атаковать расположенные поблизости Wi-Fi роутеры? Это может быть ваш домашний или рабочий Wi-Fi роутер. К сожалению, роутеры, как правило, оказываются уязвимыми для атак, а получив доступ к роутеру, можно провести полноценную атаку на подключающиеся к нему устройства.

О последствиях скомпрометированного Wi-Fi роутера мы поговорим в отдельной главе, но поверьте – это очень опасно. Совет тут может быть один – позаботиться о безопасности своего Wi-Fi роутера, мы научим вас этому в рамках курса. В дополнение рекомендуется использовать VPN, хоть он и не защитит от компрометации Wi-Fi устройства, однако поможет предотвратить последующую атаку на вас, например перехват интернет-трафика или подмену DNS.

Совет

Позаботьтесь о безопасности своего Wi-Fi роутера.

Можно выйти за пределы виртуализации и через USB-флешку, если она будет в этот момент подключена к виртуальной машине, а затем вы подключите ее к основной системе. Но в данном случае слишком много обстоятельств должно сойтись. В некоторых случаях можно провести атаку через Bluetooth на находящиеся поблизости устройства, но и это сложный путь, требующий множества совпадений.

Уязвимости

К сожалению, в продуктах виртуализации ежегодно обнаруживаются уязвимости, позволяющие злоумышленникам покинуть пределы виртуальной изоляции и атаковать хостовую машину. Необходимые для этого инструменты почти наверняка есть у спецслужб и связанных с ними хакерских группировок, такие инструменты ежегодно демонстрируются на хакерских конференциях.

Например, в 2017 году на Pwn2Own китайские команды 360 Security и Tencent Security успешно осуществили «побег» из виртуальной операционной системы, развернутой на основе VMware Workstation. В обоих случаях использовались сложные комбинации эксплойтов, в обоих случаях первая атака проводилась на гостевую машину с ОС Windows.

К слову, на этой самой конференции, помимо VMware, были «взломаны» macOS, Ubuntu, Windows, Firefox, Edge, Safari, Adobe Reader, Adobe Flash. Последний, говорят, сломался сам до начала демонстрации. Шутка.

Решение

тут может быть только одно: если вы опасаетесь, что против вас могут работать высококвалифицированные хакеры, используйте аппаратную изоляцию – полностью изолированный от основной машины компьютер.

Мы будем говорить об аппаратной изоляции в отдельной главе курса и поможем вам настроить среду для запуска подозрительных файлов и документов. Виртуальная изоляция уязвима, и никогда нельзя исключать возможность наличия у ваших недоброжелателей инструментов для выхода из используемой вами системы виртуализации.

Совет

Если вы опасаетесь атак высококвалифицированных хакеров, используйте только аппаратную изоляцию.

Если вы используете программную изоляцию, обязательно своевременно обновляйте ваше решение для виртуализации до самой последней версии. Не менее важно обновлять и все компоненты, используемые на виртуальной машине: от браузера до операционной системы.

Совет

Своевременно обновляйте все компоненты виртуальной машины от браузера до операционной системы.

Социальная

инженерия Необязательно выходить за пределы виртуальной среды при помощи уязвимости в системе виртуализации или Wi-Fi роутера, когда есть старая добрая социальная инженерия. Не зря же говорят, что самое уязвимое место компьютера – прокладка между креслом и монитором. Многие современные вредоносные программы анализируют окружающую среду на предмет наличия виртуализации и, если обнаруживают, либо не запускаются совсем, либо не активируют вредоносные функции.

Это помогает скрываться от анализа экспертами и различных автоматических и полуавтоматических проверок. Для простых пользователей этот момент очень важен, так как вы должны помнить, что отсутствие вредоносной активности в виртуальной среде не означает, что ее не будет при запуске на вашей основной системе.

Внимание

Отсутствие вредоносной активности в виртуальной среде не означает безопасность основной системы.

Мне известно несколько случаев, когда люди тестировали программу на виртуальной машине; не обнаружив ничего подозрительного, запускали ее в основной системе и получали зашифрованный диск. Но иногда вредоносная программа не маскируется, а сообщает пользователю о невозможности запуска в виртуальной среде, тем самым подталкивая его запустить файл в основной системе.

Стоит отметить, что некоторые программы действительно не могут запускаться в виртуальной среде, например из-за высоких требований к видеопамяти, но вредоносная программа делает это умышленно, и вам не стоит попадаться на этот крючок. Для этих случаев стоит иметь компьютер для тестов или приобрести удаленный выделенный сервер.