2012年9月9日 星期日

惡意程式開始能入侵虛擬機器


惡意程式開始能入侵虛擬機器

惡意程式OSX.Crisis是目前發現第一起蓄意針對虛擬機器發動攻擊的惡意程式,為了杜絕這種惡意程式的擴散,臺灣賽門鐵克資深技術顧問張士龍表示,企業可以先切斷沒有必要的網路連線,並杜絕所有外接儲存裝置的Autorun功能。

資安公司賽門鐵克日前發現可以同時跨微軟和Mac作業系統的惡意程式OSX.Crisis也會針對VMware的虛擬機器發動攻擊,這也是目前發現第一起蓄意針對虛擬機器發動攻擊的惡意程式。

臺灣賽門鐵克資深技術顧問張士龍表示,這個OSX.Crisis惡意程式本身有一個JAR檔案,內建可以同時在微軟和Mac作業系統活動的執行檔,這樣的執行檔可以自動偵測所處的伺服器環境,若該臺伺服器有其他的虛擬機器時,該惡意程式就會尋找VMware的映像檔,透過VMware Player Tool工具檔打開這個虛擬機器來植入惡意程式。

張士龍指出,許多防毒軟體為了提高偵測率,都會在虛擬環境內進行沙箱偵測,以往的惡意程式為了躲過防毒軟體的偵測,一旦偵測到該作業系統內有虛擬環境,多會停止動作,藉此隱匿自己的形跡。但OSX.Crisis則是第一個試圖複製並感染到其他虛擬環境的惡意程式。

根據賽門鐵克的觀察,張士龍表示,這個OSX.Crisis惡意程式原本是透過社交工程的方式進入企業的內網,可以側錄Skype的Session,MSN和綠色鴨子的即時通訊對談,也可以竊取Safari和火狐狸瀏覽器的記錄,也可以對外和傀儡網路的中控主機取得連線。

為了杜絕這種惡意程式的擴散,張士龍表示,企業可以先行檢視虛擬機器和實體伺服器中,是否一定要共用網路,先切斷沒有必要的網路連線;加上該惡意程式也可以透過USB被複製,杜絕所有外接儲存裝置的Autorun功能。張士龍說,為了確保虛擬機器的安全性,建議每一個虛擬機器的Guest OS都應該安裝防毒軟體。文⊙黃彥棻

轉載自《iThome》