¿Hay alguna forma de identificar el host de una máquina virtual maliciosa en toda la red?

No dices por qué te importaría si el atacante está usando una máquina virtual. Yo diría que es irrelevante. Es solo una distracción. Así que me gustaría responder a esa parte de la pregunta.

En cuanto a cómo saber qué máquina en la red es el sistema host, su capacidad para hacer esto en esta situación especial es tan buena como la situación cuando no hay una VM. Tienes registros DHCP y ARP para pasar. Si puede identificar la dirección IP, vaya a su conmutador Ethernet y encuentre a qué puerto físico está conectada la dirección IP; luego, dé un paseo agradable a ese puerto y diríjase a él. No olvides traer tu palo de pista.

En primer lugar, asumo que ya ha localizado la dirección IP del atacante, utilizando un IDS, por ejemplo. En este caso:

• ¿Hay formas de determinar que el atacante está usando una VM?

Una forma en la que puedo pensar, siempre que tenga la IP, es encontrar el MAC del atacante. Por lo general, apuntará al fabricante, que será vmware o algún otro similar. Se puede usar nmap para este tipo de huellas dactilares.

• ¿Hay formas de determinar qué máquina en la red es el sistema host?

Esta es una pregunta realmente interesante, y no tengo una respuesta, y no estoy seguro de que exista una. Supongo que puede ubicar el segmento de la red si tiene una infraestructura de conmutación adecuada, sin estar seguro de que pueda hacer algo más que eso de forma remota.

Por supuesto, si está realmente determinado, puede intentar encontrar la IP de la manera opuesta: Suponiendo que tiene un conmutador administrado, intente bloquear las direcciones MAC a los puertos, una por una. Finalmente, dejará de comunicarse con el invitado cuando bloquee la dirección mac de su host al puerto del switch. También debería poder ver si hay más de una dirección de mac conectadas a un puerto, si usa un conmutador decente (desafortunadamente no tengo un enlace disponible, pero he leído acerca de esta funcionalidad).

Esencialmente, la respuesta depende de si puede ver la dirección MAC de la máquina virtual.

Si puede obtener acceso a las direcciones MAC de los hosts que usa el atacante (ya sea obteniendo acceso al conmutador al que está conectado o escaneando desde la misma subred), luego determine que una máquina virtual está en uso. debería ser bastante sencillo ya que las tarjetas de red virtuales tienen OUI específicos que son distintivos (esto, por supuesto, suponiendo que el atacante no ha cambiado la dirección MAC para que sea menos distintivo)

En términos de rastrearlos, en una red cableada, un conmutador administrado puede tener la capacidad de mostrar en qué puerto se encuentra una dirección MAC (definitivamente, los conmutadores de Cisco pueden hacer esto). Si la red es inalámbrica, eso podría ser un poco más complicado. Puede determinar el AP al que está conectado el cliente (nuevamente, suponiendo que la información está disponible por el AP) y luego usar un escáner (por ejemplo, kismet) para buscar la dirección MAC del atacante y rastrearla físicamente. p>