什么是“虚拟机逃逸”?
这里引用陈旭华的解释
所谓虚拟机逃逸(Escape Exploit),指的是突破虚拟机的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。
应对的几个办法
1.关闭VMnet3网卡
2017年的时候 长亭安全通过堆溢出漏洞成功实现”虚拟机逃逸”,虽然第二天VM官方就修复了这个问题,但是国内的版本大都以v12为主,所以还是关闭为好
2.使用NAT网络连接方式或者禁止网络连接
NAT网络连接方式能够防止虚拟机内容通过虚拟机访问到主机,不过为了防止病毒在网络传播,还是禁止网络连接比较好
3.关闭共享相关功能
共享文件夹之类的共享功能可能也会带来安全隐患
4.关闭Vmware Tools
这个应该算是弊大于利,装上之后带来的便利其实并不多(有时候甚至还会出错)
5.修改VMX文件+开启虚拟化技术(参考IT之家)
使用其它高级的文本编辑器(不要用记事本,可以用写字板)打开你的虚拟机的vmx文件,在任意处加上这两行:
monitor_control.restrict_backdoor = “TRUE”
disable_acceleration = “TRUE”
然后保存。
然后虚拟机设置里勾上“虚拟化Intel VT-x/EPT或AMD-V/RVI”。这还要求你的主板BIOS设置里开启了相关的虚拟化技术,能否开启随厂商决定,近年的电脑一般都能开启。
6.尽可能的少进行主机-虚拟机交互
文件交互和网络连接都会带来较大隐患,建议调试之前就全部整理好
参考资料
IT之家 “神教程”:VM 虚拟机内的恶意程序测试指南:https://www.ithome.com/html/win10/309365.htm
[求助] 用VMware虚拟机测试病毒,需要注意什么。 :https://bbs.kafan.cn/thread-2143788-1-1.html
VMware虚拟机防病毒么,VM虚拟机怎么防止病毒感染主机?:https://www.beihaiting.com/a/RJC/GJRJ/20141105/5631.html
利用一个堆溢出漏洞实现VMware虚拟机逃逸:https://zhuanlan.zhihu.com/p/27733895
VMware 虚拟机逃逸漏洞:https://www.cnblogs.com/chenxuhua/p/vmware-escape.html
实战VMware虚拟机逃逸漏洞:https://blog.csdn.net/weixin_44304686/article/details/91868289
【威胁通告】VMWARE虚拟机逃逸漏洞CVE-2018-6981、CVE-2018-6982:http://blog.nsfocus.net/vmware-cve-2018-6981/