Виртуализация — не гарантия безопасности

image

Новое вредоносное ПО способно определять, что оно работает внутри виртуальной машины, и в зависимости от этого менять свое поведение.

Одним из преимуществ виртуализации считалась безопасность, однако согласно недавнему исследованию, это уже не так.

Новое вредоносное ПО способно определять, что оно работает внутри виртуальной машины, и в зависимости от этого менять свое поведение. «Скрыть существование ВМ принципиально невозможно», утверждают авторы отчета в ответ на высказываемые некоторыми разработчиками технологии виртуализации и средств безопасности надежды на создание необнаруживаемых ВМ.

Документ, называемый «Совместимость и прозрачность не одно и то же: мифы и реальность обнаружения механизмов управления виртуальными машинами», опубликован поставщикам ПО виртуализации VMware и XenSource совместно с учеными из Стэнфордского и Карнеги-Меллонского университетов. В нем обсуждается возможность использования виртуальных машин (ВМ) в качестве способа перехвата атак руткитов — так называемого хонипотинга — а также для обнаружения червей. Надежды на это опирались на неспособность обычного вредоносного ПО распознать, что оно атакует не реальную, физическую машину.

Авторы отмечают, что «по аналогичным причинам поставщики антивирусов стараются оправдать использование ими ВМ для идентификации новых эксплойтов. Другие предлагают использование виртуализации для агрессии в форме руткитов на базе ВМ в надежде на то, что прозрачность механизмов управления ВМ (VMM) скроет их присутствие и создаст идеальную платформу для атак… Мы считаем, что требуемая для этих целей прозрачность недостижима ни сегодня, ни в будущем».

Согласно отчету, проблема заключается в том, что эти разрабатываемые средства защиты отталкиваются от предположения, будто если все технические характеристики совпадают с реальной машиной, то ПО не может обнаружить, что находится в виртуальной среде. Однако существуют важные признаки, которые выдают присутствие ВМ. «Виртуальная реализация этой архитектуры существенно отличается от физических реализаций… Логические различия состоят в семантических особенностях интерфейсов реальной и виртуальной аппаратуры. Большинство современных методов обнаружения VMM используют особенности интерфейса виртуального ЦП VMM, такого как VMware Player или Microsoft VirtualPC, который нарушает архитектуру х86».

Для подавляющего большинства программ эти и другие различия не имеют значения, поэтому VMM не пытаются скрыть их. Но программы могут обнаруживать различия в ЦП, запоминающих устройствах и драйверах устройств, главным образом потому, что разработчики VMM больше сосредоточены на совместимости и производительности, чем на возможности обнаружения или безопасности в целом.

В результате, заключают авторы, «простота создания новых методов обнаружения предполагает, что обеспечить полную прозрачность VMM практически невозможно».

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus