8 月21 日,有很多媒体报导一种会攻击VMware 虚拟机的新病毒或恶意软件:Crisis(也叫做Morcut)。这是一款在 7 月下旬就开始传播的新恶意软件家族成员,曾被很多防毒软件厂商报导过,包括趋势科技。该病毒主要感染运行Mac OSX 的机器,而安全研究人员最近发现,有些新的Crisis变种也会感染VMware 虚拟机和Windows Mobile 系统。
下面是个实用指南,主要为您提供在面对这类不明疑惧事件时需要知道的信息,以及在短期与长期阶段该做的事情。
先来复习一下,目前的虚拟化主要是通过两种类型的虚拟主机管理程序部署的:
l 第一类虚拟主机管理程序部署–最主要的例子是VMware ESX、Citrix XenSource 等。可以将这类产品想成是替代一般主机操作系统(例如Windows 或Linux)的系统,需要直接在物理机器的硬件上运行。这种软件本身就像是操作系统,可以直接控制硬件。随后通过管理程序同时运行多个虚拟机。几乎所有数据中心都部署了这类虚拟化产品。这类软件并不会被这个恶意程序所攻击。我也不知道实际上有哪种在外流传的恶意软件可以感染第一类虚拟主机管理程序。
l 第二类虚拟主机管理程序部署–例如VMware Workstation、VMware Player 等,这类虚拟主机管理程序需要安装在标准操作系统(例如Windows 或Linux)之上,再运行多个虚拟机。而这第二种类型是恶意软件能够感染的。首先,主机操作系统先受到感染。可能是一次已知的Windows 或Mac OS 攻击(所以要先检测操作系统,然后安装对应的可执行文件)。接着会寻找VMDK 文件,并利用虚拟主机工具(VMplayer)感染虚拟机。而这类型感染是可以利用更新防病毒软件的方法加以预防的。
即使这个受感染的虚拟机被移动,并转为在第一类虚拟主机管理程序中运行(这只是一个假设性的讨论),它也会被限制在虚拟机里,因为端点安全程序会防止虚拟机间的网络通讯以及I/O 通讯。
那么,这有什么大不了的?
虚拟机就和物理机器一样,如果不修补漏洞,一样会让恶意软件感染操作系统或应用程序,或是会被针对用户的社会工程学攻击所入侵。而针对这次的问题,有两个因素让Crisis 显得既新颖又独特:
l 首先,该恶意软件会明确地找到存在的虚拟机,并试图加以感染。
l 其次,它会通过底层基础架构感染虚拟机,也就是通过修改 VMDK 文件的方式,而不是通过传统手段,例如远程网络、网页访问,或文件分享等方式进入虚拟机。
除了这些有趣的特性外,我们不认为这个恶意软件有什么明显的威胁。在真实世界里的感染率非常低(小于100 个案例),所以它看来不会出现大规模扩散,也不可能有迅速传播的能力。话虽如此,如果担心的话,您还是应该采取一些预防措施:
l 保护您的虚拟机–您珍贵的应用程序和数据是所有攻击的最终目标,Crisis 只是让目标更加明确。要确认在物理机器和虚拟主机上有防病毒软件或其他层次的保护,这样才能保障安全,例如您可以使用趋势科技 DeepSecurity或趋势科技 OfficeScan。
l 限制对VMDK 文件的访问–虽然Crisis 只针对一般主机上的虚拟主机管理程序,而非数据中心。但这里的根本问题是,任何可访问 VMDK 文件的人都可以对您的虚拟桌面或虚拟机(包括vSphere 或View)做出不好的事情。
@原文参考:Averting a ‘Crisis’ for yourVMware environment
Morcut/Crisis(危机)病毒小档案
Morcut/Crisis(危机)病毒会感染VMWare 虚拟机,并且可以在多个系统平台上运行传播。Morcut/Crisis(危机)有以下两点与普通病毒不同:
1、目标明确,它会搜索是否有虚拟机存在并尝试感染。
2、通过基础架构对虚拟机进行感染。例如通过修改.vmdk 文件,而不是通过传统手段,例如远程控制或文件分享等方式入侵虚拟机。
该病毒通过直接修改在宿主机物理服务器上的VMDK 文件对虚拟机进行感染。也就是说,如果某台宿主机物理服务器(Windows/MAC OS)感染了该病毒,并且机器上安装了VMWARE 的工具(例如WORKSTATION、vSphere、View),则该机器有权限访问的虚拟机都有被感染的可能。感染病毒后,该虚拟机会有信息泄漏的风险,同时可能会被植入后门程序。
该病毒对虚拟机的传播依赖VMWARE 提供的正常功能,不存在对漏洞的利用,所以被感染的虚拟机并不会将病毒传播给其他虚拟机(但可能由于宿主机物理服务器感染,所以其他虚拟机也会被感染)。
该病毒的主要恶意行为是窃取信息和后门植入,不管是在虚拟机还是在宿主机物理服务器中,病毒的行为都是一样的。
恶意行为
首先,该病毒会利用一个恶意的Java applet(被命名为JAVA_MORCUT.A*)抵达计算机。这个Java applet 中包含的代码会检测目标计算机运行的是什么操作系统。
在Mac系统上,Javaapplet 会释放并运行OSX_MORCUT.A,该病毒的恶意行为与大多数Windows平台上的后门程序类似。OSX_MORUCT.A具有的最不寻常的行为是能够打开系统麦克风,可能是为了进行信息盗窃。
在Windows 系统上,这个Java applet 会释放WORM_MORCUT.A,接着释放其它若干文件,其中之一被命名为WORM_MORCUT.A;另一些组件文件被命名为RTKT_MORCUT.A**。它的主要功能是通过USB 和虚拟机进行传播。它可以搜索系统上的VMware 虚拟磁盘,并将自身的病毒副本释放到虚拟机中。Windows 版本的MORCUT 和Mac 版本一样,也能够录制音频。
技术细节
被命名为JAVA_MORCUT.A 的JAVA applet 会下载一个压缩包,其中包含两个文件:运行在MAC 系统上的后门程序OSX_MORCUT.A 和运行在Windows 系统上的蠕虫病毒(命名为WORM_MORCUT.A)。接着该文件会释放以下组件文件:
IZsROY7X.-MP (32位DLL)定义为WORM_MORCUT.A
t2HBeaM5.OUk (64位DLL)定义为WORM_MORCUT.A
eiYNz1gd.Cfp
WeP1xpBU.wA (32位驱动程序)检测为RTKT_MORCUT.A
6EaqyFfo.zIK (64位驱动程序)检测为RTKT_MORCUT.A
lUnsA3Ci.Bz7 (32位DLL)非恶意文件
根据趋势科技的初步分析,WORM_MORCUT.A 具有通过USB 设备和VMware 虚拟磁盘传播的能力。它会使用驱动程序组件RTKT_MORCUT.A挂载到虚拟磁盘上。虽然该病毒具有较强的传播能力,但我们没有发现大量感染WORM_MORCUT.A 和TROJ_MORCUT.A 的情况。
注意
该病毒在感染过程中并不会利用漏洞。此外,只有VMWare 的虚拟机会受到该病毒的威胁,其他虚拟机平台不受影响。而且几乎所有部署了虚拟机的数据中心都不会受到影响。
解决方案
请限制VMDK 的访问。“危机”这种病毒只针对宿主机的虚拟机管理程序,而不针对数据中心,它会使任何可以访问.vmdk 文件的程序在您的虚拟磁盘或虚拟机上执行恶意行为,其中包括vSphere 或View。
保护您的虚拟机。任何攻击的最终目标是您有价值的应用程序和数据,“危机”的目标更为明确。请务必安装反病毒软件和其他安全产品,借此保护您服务器和桌面的安全,例如您可以使用趋势科技 DeepSecurity或趋势科技 OfficeScan我。
此内容来自爱趋势博客http://blog.iqushi.com/