¿Exactamente qué tan segura es la navegación de VM?

Question

¿Exactamente qué tan segura es la navegación de VM?

#1 de Mark (6 votos)
#2 de abhinav singh (2 votos)
#3 de Master James (0 votos)

8

Generalmente hago toda mi navegación web en una máquina virtual. Tengo una máquina virtual "segura" que ejecuta Ubuntu que tiene servicios de invitado instalados. En general, solo voy a los sitios que considero que son dignos de confianza aquí.

También tengo una VM "insegura" con Ubuntu que no tiene los servicios de invitado instalados.

Esta noche estaba usando la VM insegura para navegar por algunas áreas menos que sabrosas de Internet cuando ocurrió una de las molestas ventanas emergentes del FBI. No es gran cosa ... y luego veo que Norton aparece en mi máquina host con una acción bloqueada en C: \ Windows \ SysWOW64 \ vmnat.exe. El nombre de la alerta era "Web Attack: Ransomlock Website 7" y proviene del sitio web del FBI falso en la ventana emergente. Esto puede no ser importante ... pero como un FYI estaba usando Chrome para navegar.

No entiendo completamente el sistema VMware NAT, pero ¿esto suena como un malware que podría haberse filtrado de la VM a mi host, o Norton tiene una idea de lo que vmnat.exe pudo haber llamado y enviado a la VM? .

Principalmente solo quiero asegurarme de que mi host es "seguro", pero también tengo curiosidad por saber cómo funciona esto.

web-browser virtualization malware

pregunta 19.06.2014 - 07:04

fuente

3 respuestas

Lea otras preguntas en las etiquetas web-browser virtualization malware

¿Se acabó realmente la discusión sobre el SSO? ¿Cómo conectar Tor a la web usando un servidor específico?

score 6 · Answer 1

vmnat.exe es el servicio de red virtual de VMware: todos los datos de red que van hacia o desde un sistema operativo invitado que utiliza redes NAT pasan a través de él.

Norton no puede ver dentro de tu VM. En cambio, cuando un programa dentro de la máquina virtual hace algo, Norton ve que el software de virtualización realiza esa acción. En este caso, cuando su navegador virtualizado intentó descargar el malware "Ransomlock Website 7", Norton vio que vmnat.exe lo descargaba, pero no vio que los datos se entregarían a un sistema operativo virtualizado que no podría dañarse. por ella, por lo que bloqueó la descarga.

Sí, es posible que un ataque salga de una máquina virtual, pero es muy, muy raro.

score 2 · Answer 2

Primero abordemos la red de máquinas virtuales. Una dirección externa, generalmente enrutable, es el "exterior" del NAT. Las máquinas detrás del NAT tienen una dirección "interna" que generalmente no es enrutable.

El modo puenteado actúa igual que la interfaz con la que se está conectando ahora es un conmutador y la máquina virtual está conectada a un puerto. Todo funciona de la misma forma que si fuera otra máquina normal conectada a esa red.

Si está en un modo de puente y un malware lo infecta, entonces puede leer su tabla de enrutamiento y puede identificar su rango de red para pasar a otras máquinas. Ahora viene a la infección. Ransomeware es un malware típico que bloquea su máquina en caso de infección. Las imágenes que viste en tu pantalla eran todas falsas. Si lo ha notado, debe pedirle que pague una multa para desbloquear su computadora. Este es un truco que el ransomware aplica para robar dinero. Una de las formas en que el ransomeware llegó a su máquina fue que el sitio web que estaba navegando fue pirateado y se debe inyectar un iframe invisible que lo redireccione a una vulnerabilidad del navegador, lo que le permite descargar y ejecutar el malware en su sistema. Es un buen paso que tengas vm separado para diferentes actividades de navegación. Si los mantiene en un modo de red NAT, la infección solo permanecerá dentro de la máquina virtual. Se puede imaginar lo que habría pasado si ransomeware hubiera bloqueado su sistema operativo.

score 0 · Answer 3

También tenga en cuenta que [por ejemplo, con VirtualBox (en Win)] la imagen "predeterminada" para docker-machine normalmente crea una carpeta Share con todos / Usuarios, por lo que eso también sería malo (y algo para asegurarse de que no esté sucediendo) ), NAT o no. Aún así, la escritura acumulada por una infección podría ser detenida por un antivirus como se mencionó anteriormente.