Phần mềm độc hại có lây lan từ máy ảo sang máy thật hay không?

[nktung]

Câu hỏi này muốn đặt ra để mọi người thảo luận: nếu mình cài một máy ảo trên VMWare và đặt chế độ card mạng là NAT hoặc Bridge. Máy ảo này chứa phần mềm độc hại. Vậy phần mềm độc hại có lây lan từ máy ảo sang máy thật hay không?

 

Re: Phần mềm độc hại có lây lan từ máy ảo sang máy thật hay không?

Câu hỏi này muốn đặt ra để mọi người thảo luận: nếu mình cài một máy ảo trên VMWare và đặt chế độ card mạng là NAT hoặc Bridge. Máy ảo này chứa phần mềm độc hại. Vậy phần mềm độc hại có lây lan từ máy ảo sang máy thật hay không?

Không lây lan với điều kiện không có bất cứ một sự trao đổi nào giữa máy thật và máy ảo.

 

Re: Phần mềm độc hại có lây lan từ máy ảo sang máy thật hay không?

Vì card mạng của máy ảo để ở chế độ Bridge thì máy ảo và máy thật nằm cùng mạng. Nếu phần mềm độc hại là worm, nó vẫn có thể lây lan sang máy thật, bằng cách khai thác một lỗ hổng của máy thật mà không cần có sự tác động của người dùng

 

Re: Phần mềm độc hại có lây lan từ máy ảo sang máy thật hay không?

Vì card mạng của máy ảo để ở chế độ Bridge thì máy ảo và máy thật nằm cùng mạng. Nếu phần mềm độc hại là worm, nó vẫn có thể lây lan sang máy thật, bằng cách khai thác một lỗ hổng của máy thật mà không cần có sự tác động của người dùng

Về lối suy nghĩ này của bạn mình xin trả lời như sau:
Xét về khái niệm, "Sâu máy tính thường được coi là một nhánh của virus, nhưng có một vài khác biệt cơ bản. Sâu máy tính là một chương trình tự sao chép, nhưng không lây nhiễm tới các tập tin trong máy tính như virus. Thay vào đó, nó sẽ tự cài vào máy tính chỉ một lần, sau đó tìm cách lây lan sang máy tính khác." (theo kaspersky)
Như vậy có thể thấy, sâu sẽ tìm cách lây lan sang các máy tính khác. Như những gì mình đã học (Chương trình CompTIA Security+), thì có các phương pháp để chuyển giao các phần mềm độc hại là:
- Thông qua các phần mềm, thư điện tử, và media => Bạn không thể bị lây nhiễm qua con đường này, vì bạn không thực thi bất kỳ một chương trình hoặc tệp tin nào (mà bạn chạy trên máy ảo) trên máy thật.
-Active interception (là việc một máy tính đặt giữa máy thật và máy ảo để chụp và thay đổi thông tin) => Không thể xảy ra trong trường hợp này
- Leo thang đặc quyền (hay nói cách khác là việc khai thác lỗ hổng phần mềm) => Khả năng này là có thể xảy ra như bạn nói nếu nó là một sâu máy tính. Ngăn chặn bằng cách dùng firewall chặn tất cả các lưu lượng mạng tới từ địa chỉ IP trên máy ảo.
- Backdoor nếu sâu cài backdoor trên máy ảo thì máy thật cũng không bị ảnh hưởng gì vì backdoor chỉ được sử dụng để vượt qua cơ chế xác thực bình thường và cơ chế bảo mật tại máy mà nó được cài.
- Bootnets - Ví dụ, máy ảo của bạn bị dính sâu để thực hiện lây nhiễm bootnet thì máy thật của bạn cũng không bị ảnh hưởng vì máy thật của bạn không bị nhiễm sâu này.
- Logic bombs- (đây là đoạn mã được chèn vào các phần mềm, nó chỉ hoạt động khi đạt tới một vài tiêu chí nào đó. Nó ở giữa ranh giới của phần mềm độc hại và hệ thống phân phối phần mềm độc hại. Nó là phần mềm không mong muốn để kích hoạt virus, sâu, trojan vào một thời điểm cụ thể) => nếu máy ảo bị phân phối sâu bởi logic bomb thì máy thật của bạn cũng không thể bị lây nhiễm.

Hoặc trên máy ảo bạn cài các phần mềm sandbox