有很多媒體報導一種會攻擊 VMware 虛擬機的新病毒或惡意軟件:Crisis(也叫做Morcut)。
這是一款在7月下旬就開始傳播的新惡意軟件家族成員,曾被很多防毒軟件廠商報導過。該病毒主要感染運行Mac OSX的機器,而安全研究人員最近發現,有些新的Crisis變種也會感染VMware虛擬機和Windows Mobile系統。
下面是個實用指南,主要為您提供在面對這類不明疑懼事件時需要知道的信息,以及在短期與長期階段該做的事情。
先來復習一下,目前的虛擬化主要是通過兩種類型的虛擬主機管理程序部署的:
第一類虛擬主機管理程序部署:最主要的例子是 VMware ESX、Citrix XenSource 等。可以將這類產品想成是替代一般主機操作系統(例如 Windows 或 Linux)的系統,需要直接在物理機器的硬件上運行。這種軟件本身就像是操作系統,可以直接控制硬件。隨后通過管理程序同時運行多個虛擬機。幾乎所有數據中心都部署了這類虛擬化產品。這類軟件并不會被這個惡意程序所攻擊。我也不知道實際上有哪種在外流傳的惡意軟件可以感染第一類虛擬主機管理程序。
第二類虛擬主機管理程序部署:例如VMware Workstation、VMware Player 等,這類虛擬主機管理程序需要安裝在標準操作系統(例如 Windows 或 Linux)之上,再運行多個虛擬機。而這第二種類型是惡意軟件能夠感染的。首先,主機操作系統先受到感染。可能是一次已知的 Windows 或 Mac OS 攻擊(所以要先檢測操作系統,然后安裝對應的可執行文件)。接著會尋找 VMDK 文件,并利用虛擬主機工具(VMplayer)感染虛擬機。而這類型感染是可以利用更新防病毒軟件的方法加以預防的。
即使這個受感染的虛擬機被移動,并轉為在第一類虛擬主機管理程序中運行(這只是一個假設性的討論),它也會被限制在虛擬機里,因為端點安全程序會防止虛擬機間的網絡通訊以及 I/O 通訊。
那么,這有什么大不了的?
虛擬機就和物理機器一樣,如果不修補漏洞,一樣會讓惡意軟件感染操作系統或應用程序,或是會被針對用戶的社會工程學攻擊所入侵。而針對這次的問題,有兩個因素讓 Crisis 顯得既新穎又獨特:
首先,該惡意軟件會明確地找到存在的虛擬機,并試圖加以感染。
其次,它會通過底層基礎架構感染虛擬機,也就是通過修改 VMDK 文件的方式,而不是通過傳統手段,例如遠程網絡、網頁訪問,或文件分享等方式進入虛擬機。
除了這些有趣的特性外,我們不認為這個惡意軟件有什么明顯的威脅。在真實世界里的感染率非常低(小于 100 個案例),所以它看來不會出現大規模擴散,也不可能有迅速傳播的能力。話雖如此,如果擔心的話,您還是應該采取一些預防措施:
◆保護您的虛擬機
您珍貴的應用程序和數據是所有攻擊的最終目標,Crisis 只是讓目標更加明確。要確認在物理機器和虛擬主機上有防病毒軟件或其他層次的保護,這樣才能保障安全,例如您可以使用趨勢科技 Deep Security或趨勢科技 OfficeScan。
◆限制對 VMDK 文件的訪問
雖然 Crisis 只針對一般主機上的虛擬主機管理程序,而非數據中心。但這里的根本問題是,任何可訪問 VMDK 文件的人都可以對您的虛擬桌面或虛擬機(包括 vSphere 或 View)做出不好的事情。
Morcut/Crisis(危機)病毒小檔案
Morcut/Crisis(危機)病毒會感染 VMWare 虛擬機,并且可以在多個系統平臺上運行傳播。Morcut/Crisis(危機)有以下兩點與普通病毒不同:
1、目標明確,它會搜索是否有虛擬機存在并嘗試感染。
2、通過基礎架構對虛擬機進行感染。例如通過修改 .vmdk 文件,而不是通過傳統手段,例如遠程控制或文件分享等方式入侵虛擬機。
該病毒通過直接修改在宿主機物理服務器上的 VMDK 文件對虛擬機進行感染。也就是說,如果某臺宿主機物理服務器(Windows/MAC OS)感染了該病毒,并且機器上安裝了 VMWARE 的工具(例如 WORKSTATION、vSphere、View),則該機器有權限訪問的虛擬機都有被感染的可能。感染病毒后,該虛擬機會有信息泄漏的風險,同時可能會被植入后門程序。
該病毒對虛擬機的傳播依賴 VMWARE 提供的正常功能,不存在對漏洞的利用,所以被感染的虛擬機并不會將病毒傳播給其他虛擬機(但可能由于宿主機物理服務器感染,所以其他虛擬機也會被感染)。
該病毒的主要惡意行為是竊取信息和后門植入,不管是在虛擬機還是在宿主機物理服務器中,病毒的行為都是一樣的。
惡意行為
首先,該病毒會利用一個惡意的 Java applet(被命名為 JAVA_MORCUT.A*)抵達計算機。這個 Java applet 中包含的代碼會檢測目標計算機運行的是什么操作系統。
在Mac系統上,Java applet 會釋放并運行 OSX_MORCUT.A,該病毒的惡意行為與大多數 Windows 平臺上的后門程序類似。OSX_MORUCT.A 具有的最不尋常的行為是能夠打開系統麥克風,可能是為了進行信息盜竊。
在 Windows 系統上,這個 Java applet 會釋放 WORM_MORCUT.A,接著釋放其它若干文件,其中之一被命名為 WORM_MORCUT.A;另一些組件文件被命名為 RTKT_MORCUT.A**。它的主要功能是通過 USB 和虛擬機進行傳播。它可以搜索系統上的 VMware 虛擬磁盤,并將自身的病毒副本釋放到虛擬機中。Windows 版本的 MORCUT 和 Mac 版本一樣,也能夠錄制音頻。
技術細節
被命名為 JAVA_MORCUT.A 的 JAVA applet 會下載一個壓縮包,其中包含兩個文件:運行在 MAC 系統上的后門程序 OSX_MORCUT.A 和運行在 Windows 系統上的蠕蟲病毒(命名為 WORM_MORCUT.A)。接著該文件會釋放以下組件文件:
IZsROY7X.-MP (32位DLL)定義為WORM_MORCUT.A
t2HBeaM5.OUk (64位DLL)定義為WORM_MORCUT.A
eiYNz1gd.Cfp
WeP1xpBU.wA (32位驅動程序)檢測為RTKT_MORCUT.A
6EaqyFfo.zIK (64位驅動程序)檢測為RTKT_MORCUT.A
lUnsA3Ci.Bz7 (32位DLL)非惡意文件
根據趨勢科技的初步分析,WORM_MORCUT.A 具有通過 USB 設備和 VMware 虛擬磁盤傳播的能力。它會使用驅動程序組件 RTKT_MORCUT.A 掛載到虛擬磁盤上。雖然該病毒具有較強的傳播能力,但我們沒有發現大量感染 WORM_MORCUT.A 和 TROJ_MORCUT.A 的情況。
注意
該病毒在感染過程中并不會利用漏洞。此外,只有 VMWare 的虛擬機會受到該病毒的威脅,其他虛擬機平臺不受影響。而且幾乎所有部署了虛擬機的數據中心都不會受到影響。
解決方案
請限制 VMDK 的訪問。“危機”這種病毒只針對宿主機的虛擬機管理程序,而不針對數據中心,它會使任何可以訪問 .vmdk 文件的程序在您的虛擬磁盤或虛擬機上執行惡意行為,其中包括 vSphere 或 View。
保護您的虛擬機。任何攻擊的最終目標是您有價值的應用程序和數據,“危機”的目標更為明確。請務必安裝反病毒軟件和其他安全產品,借此保護您服務器和桌面的安全,例如您可以使用趨勢科技 Deep Security或趨勢科技 OfficeScan我。
京公網安備 11010502049343號