¿Cómo funciona un kit raíz dentro de una máquina virtual?

8

En mi clase, estamos discutiendo kits de raíz basados en máquinas virtuales.

He investigado los kits de raíz, pero no pude encontrar ninguna información específicamente sobre cómo funcionan los kits de raíz en las máquinas virtuales

¿Puede alguien explicarme en pocas palabras cómo un atacante llevaría un ataque de rootkit contra la máquina virtual y cómo implementaría servicios maliciosos o cualquier cosa relacionada con cómo la instalación de un kit raíz en una máquina virtual es diferente a la de una máquina física?

    
pregunta user45738 06.05.2014 - 18:31
fuente

3 respuestas

13

Como se indicó anteriormente, los kits de raíz funcionan de manera similar en un host virtual como en un host normal EXCEPTO que muchos autores de malware / virus / rootkit han desarrollado mecanismos para detectar si están o no en un máquina virtual, por lo que pueden ser programados / programados para que se comporten de manera diferente a como lo harían en una máquina normal.

Esto es muy evidente cuando el malware de ingeniería inversa, donde el malware se comportará de manera diferente si detecta que está virtualizado. Algunos de los comportamientos pueden ser para dejar de hacer sus rutinas / funciones normales, trate de eliminarse a sí mismo. Esto es similar a la verificación de malware para ver si un host está ejecutando herramientas de ingeniería inversa, por ejemplo, IDA Pro, OllyDBG, Immunity Debugger, Redline, etc.

VMWare tiene un " antirootkit " para ciertas cosas, ya que vmware agent monitoreará cosas como cambios en el SSDT e IDT (tabla de descriptores de servicio del sistema e interrupciones de tablas de descriptores). Sin embargo, al final del día, el comportamiento es MAYORMENTE el mismo.

    
respondido por el munkeyoto 06.05.2014 - 20:16
fuente
3

No queda claro en su pregunta, pero parece que puede haber estado discutiendo el malware que está programado para "escapar" de la máquina virtual y afectar a la máquina host. Hay ataques que están más enfocados en máquinas virtuales; puede ser posible afectar a otras máquinas virtuales además del invitado donde se ejecuta el malware.

Por ejemplo, el " blue pill " ataque y otras formas de "hyperjacking ". También puede explotar los servicios que solo se estarían ejecutando en una máquina virtual.

Sin embargo, en muchos casos, un kit de raíz tradicional también se ejecutará en una máquina virtual.

    
respondido por el Eric G 06.05.2014 - 23:24
fuente
1

Funcionan igual que dentro de una máquina normal. Diferencia cero. El kit raíz infectaría los archivos clave dentro del sistema operativo y potencialmente la partición de inicio. Estos principios se aplican tanto a las máquinas físicas como a las virtuales. Un servidor normal tiene archivos de sistema clave en el sistema operativo y una partición de inicio, una máquina virtual tiene archivos de sistema clave en el sistema operativo y una partición de inicio. La mayoría de los kits de raíz dentro de una máquina virtual no son conscientes de que están en una máquina virtual, por lo que simplemente infectan la máquina virtual y no el servidor físico que la hospeda.

Lo anterior solo hace referencia a los kits de raíz estándar. Existen exploits especiales y kits de raíz que no solo infectarán la máquina virtual, sino también la máquina que la hospeda, buscarán bluepill y virtualización para eso.

    
respondido por el TrinityInfoSec 06.05.2014 - 19:45
fuente

Lea otras preguntas en las etiquetas