it-swarm.com.de

Genau wie sicher ist VM Browsing?

Im Allgemeinen surfe ich im Internet in einer VM. Ich habe eine "sichere" VM mit Ubuntu, auf der Gastdienste installiert sind. Ich gehe im Allgemeinen nur zu Websites, die ich für vertrauenswürdig halte.

Ich habe auch eine "unsichere" VM mit Ubuntu, auf der die Gastdienste nicht installiert sind.

Heute Abend habe ich das unsichere VM verwendet, um einige weniger als schmackhafte Bereiche des Internets zu durchsuchen, als eines der nervigen FBI-Popups auftrat. Keine große Sache ... und dann sehe ich Norton von meinem Host-Computer aus Popup mit einer blockierten Aktion unter C:\Windows\SysWOW64\vmnat.exe. Der Warnungsname war "Web Attack: Ransomlock Website 7" und stammt von der gefälschten fbi-Website im Popup. Dies ist möglicherweise nicht wichtig ... aber als FYI habe ich Chrome zum Surfen verwendet).

Ich verstehe das VMware NAT - System nicht vollständig, aber hört sich das so an, als ob Malware vom VM auf meinen Host durchgesickert sein könnte), oder hat Norton Einblick in was vmnat.exe möglicherweise aufgerufen und an die VM zurückgesendet hat.

Ich möchte hauptsächlich nur sicherstellen, dass mein Host "sicher" ist, aber ich bin auch neugierig, wie das funktioniert.

9
user49589

vmnat.exe ist der virtuelle Netzwerkdienst von VMware: Alle Netzwerkdaten, die mit NAT Netzwerk) zu oder von einem Gastbetriebssystem übertragen werden, werden über diesen Netzwerkdienst übertragen.

Norton kann in Ihrer VM nicht sehen. Wenn stattdessen ein Programm in der VM) etwas tut, sieht Norton, dass die Virtualisierungssoftware diese Aktion ausführt. In diesem Fall sah Norton, als Ihr virtualisierter Browser versuchte, die Malware "Ransomlock Website 7" herunterzuladen vmnat.exe Herunterladen, aber nicht gesehen, dass die Daten dann an ein virtualisiertes Betriebssystem weitergegeben werden, das dadurch nicht beschädigt werden kann, sodass der Download blockiert wurde.

Ja, es ist möglich, dass ein Angriff aus einer virtuellen Maschine ausbricht, aber es ist sehr, sehr selten.

6
Mark

Lassen Sie uns zuerst das VM Netzwerk) angehen. Eine externe Adresse, die normalerweise routingfähig ist, ist die "Außenseite" des NAT. Die Maschinen hinter dem NAT haben ein " inside "Adresse, die normalerweise nicht routingfähig ist.

Der Bridged-Modus verhält sich so, als wäre die Schnittstelle, mit der Sie Bridging betreiben, jetzt ein Switch, und die VM ist an einen Port angeschlossen. Alles verhält sich so, als wäre es ein anderer regulärer Computer, der daran angeschlossen ist Netzwerk.

Wenn Sie sich in einem Bridged-Modus befinden und eine Malware diese infiziert, kann sie Ihre Routing-Tabelle lesen und Ihren Netzwerkbereich identifizieren, der auf andere Computer übertragen werden soll. Kommen wir nun zur Infektion. Ransomeware ist eine typische Malware, die Ihren Computer bei einer Infektion sperrt. Die Bilder, die Sie auf Ihrem Bildschirm gesehen haben, waren alle gefälscht. Wenn Sie bemerkt haben, müssen Sie möglicherweise eine Geldstrafe zahlen, um Ihren Computer zu entsperren. Dies ist ein Trick, den Ransomware anwendet, um Geld zu stehlen. Eine der Möglichkeiten, wie Ransomeware Ihren Computer erreichte, bestand darin, dass die von Ihnen durchsuchte Website gehackt wurde und ein unsichtbarer Iframe eingefügt werden muss, der Sie zu einem Browser-Exploit weiterleitet, wodurch die Malware auf Ihrem System gelöscht und ausgeführt wird. Es ist ein guter Schachzug, dass Sie eine separate VM für verschiedene Browsing-Aktivitäten haben. Wenn Sie sie in einem NAT Netzwerkmodus) halten, bleibt die Infektion nur in der VM. Sie können sich vorstellen, was passiert wäre, wenn Ransomeware Ihr Host-Betriebssystem gesperrt hätte.

2
abhinav singh

Beachten Sie auch, dass [zum Beispiel mit VirtualBox (unter Win)] das "Standard" -Image für Docker-Computer normalerweise einen Freigabeordner für alle/Benutzer erstellt, so dass dies ebenfalls schlecht wäre (und etwas, um sicherzustellen, dass nichts passiert), = NAT oder nicht. Trotzdem würde das durch eine Infektion gemountete Schreiben möglicherweise durch Antivirus gestoppt, wie bereits erwähnt.

0
Master James