¿Escapa de la detección de intrusión de tipo Virtualbox?

2

¿Hay alguna forma de ejecutar la detección de intrusos si algo intenta escapar de Virtualbox?

Gracias.

    
pregunta Smiith 25.03.2017 - 00:49
fuente

1 respuesta

2

En un sentido general, puedes hacer esto con herramientas de seguridad estándar. Nota: sería difícil saber TODAS las formas de detectar esto desde la VM antes de que ocurriera tal ataque, en vez de hacerlo. acceso al SO Host donde sería mucho más fácil de detectar.

Para detectar un programa mientras intenta escapar, deberías estar monitoreando el sistema operativo de la VM.

Para detectar cosas que han escapado, estarías monitoreando el SO Host. Por lo tanto, la ubicación de las herramientas es importante y relativa a la forma en que hizo su pregunta.

Dicho esto, suponiendo que sea estricto con respecto a su uso del sistema operativo Host dedicado únicamente con el propósito de alojar Virtualbox VM, sería fácil configurar una gran cantidad de sistemas de monitoreo en el sistema operativo Host para detectar un comportamiento anómalo. También puede aumentar los niveles de registro porque el software VirtualBox debería ser lo único realmente activo en el sistema operativo Host. Esto hace que el acceso del usuario / sistema y otros tipos de actividades sean realmente fáciles de detectar SI no está ejecutando otras cosas en el SO Host.

En teoría, si no estás haciendo mucho con el sistema operativo base, entonces sería fácil detectar los patrones anormales de uso que se producirían si alguien comenzara a acceder al sistema operativo host. Eso decía si esto era En su computadora portátil principal, creará mucho ruido en los registros, lo que hará que esto sea mucho más difícil de hacer.

IDS / IPS / Other y las herramientas de seguridad, especialmente las herramientas de seguridad del sistema operativo que monitorean las llamadas al sistema , se pueden colocar fácilmente tanto en el sistema operativo VM como en el sistema operativo host, por lo que si los ataques están pensando pueden detectarse y no son verdaderos. Los exploits de día cero deberían ser posibles de detectar cuando se usan sistemas de prevención / detección de intrusos debidamente configurados.

    
respondido por el Trey Blalock 25.03.2017 - 07:52
fuente

Lea otras preguntas en las etiquetas