Troyanos y máquinas virtuales. VMTthreat

Hola,

Os dejo un enlace de mi tocayo Sergio Castro, en el que podréis descargar una inusual prueba de concepto. Se trata de VMTthreat, una PoC máquina virtual troyanizada, con la que resultará más fácil comprender los riesgos que pueden suponer estos agentes maliciosos.

Con esta prueba de concepto, cualquier administrador puede ponerse en la piel de un usuario que, lejos de descargar una máquina virtual benigna, accede e instala una máquina virtual troyanizada. Este escenario es totalmente plausible, sobre todo teniendo en cuenta que muchas de estas máquinas se descargan de Internet y que muchos usuarios de soluciones virtualizadas son meros usuarios, y no personas con conocimiento profundo para determinar qué están descargando.

Bien es cierto que determinados motores instalados en la máquina anfitrión podrían localizar el troyano en la imagen virtualizada, y prevenir la contaminación antes de iniciar la máquina virtual, pero esto es sólo una posibilidad, y no un axioma. No olvidemos además que, por ejemplo, VMware recomienda, para obtener el mejor rendimiento posible, que los ficheros de la máquina virtual sean añadidos a las listas de excepción de los antivirus, con lo que negar los riesgos de contaminación es, de entrada, una actitud irresponsable.

Hoy en día los troyanos para máquinas virtuales son testimoniales, ya que el filón lo siguen representando los bichos orientados a sistemas Microsoft convencionales, donde se combinan letalmente la cuota de mercado, la escasa formación que tienen muchos de sus usuarios y la relativa facilidad de programar y diseminar troyanos. Pero que nadie pierda de ojo a los troyanos alternativos, porque la evolución natural de cualquier negocio es la apertura a nuevos nichos de operación, y dudo mucho que las factorías de malware sean en el medio y largo plazo una excepción.

Un saludo,

4 comentarios sobre “Troyanos y máquinas virtuales. VMTthreat

  1. Increíblemente interesante el artículo Sergio, aparte lo estuve discutiendo esto mismo con un amigo hace tiempo a pequeña escala del peligro que esto representa, como bien señalas en tu escrito, pero si lo enfocamos a un ámbito de desarrollo de una empresa, esto puede llegar ser un auténtico caos, ya no simplemente porque VMWare diga que el antivirus no debe analizar los ficheros de las máquinas virtuales, sino que dichas máquinas ya corren sistemas Windows y el peligro está ahí presente y constante, no serán troyanos, pero si las carpetas compartidas, usuarios «espabilados», etc, muchos huecos por explorar, porque virtualizado o no se tratará, en mi caso, de un sistema windows, que si es de producción deberá estar igualmente parcheado.

    La única ventaja que tiene esto de la virtualización por experiencia que pueda tener, es que tanto este caso de infección troyana como otros, fallos de sistema, instalaciones defectuosas de aplicaciones, fallos de software beta, etc, son mucho más rápidas las restauraciones que en cualquier otro caso, pues la clonación de máquinas es prácticamente pulsar y listo…

    Por ello creo que la virtualización no es la panacea y debemos aplicar las mismas precauciones a los mismo problemas ya conocidos.

    Sergio, como siempre un placer leerte… un saludo.

  2. Efectivamente, A + B =

    A = Los delincuentes, mientras tengan otros ‘filones’ de mayor volumen de víctimas y facilidad de explotación (bajo coste de implementación, etc), seguirán por ahí.

    «Larga vida a los Windows vulnerables»

    B = El troyano en máquina virtual, tiene un potencial bastante alto y cuidado si los conceptos no están siendo explotados desde hace tiempo, porque el TRAFICO TCP/IP que genera puede ser [prácticamente] INVISIBLE a la máquina anfitriona (simplemente precioso).

    Ejemplo demostrable: 1 + 2 + 3 + 4=

    1 = Máq. anfitrion Windows XP, Máq. virtual win 2000 (u otro S.O. virtual como linux, dará lo mismo)

    2 = VMware Player v2.5.1 en anfitrión (en el ejemplo, Win XP)

    3 = Ejecutar dentro de instancia virtual (win 2000) programa de prueba de velocidad ADSL, multidescarga

    4 = Monitorizar TRÁFICO TCP/IP con netstat -n, MS/Sysinternals multi-herramientas (ProcExp, TCPxxx…) o el administrador de tareas en máquina anfitriona.

    ¿Qué veréis de TRÁFICO en la máq. anfitriona? Exactamente NADA: INVISIBLE.

    Razón: entre otras, por la implementación brillante VMware del acceso en nivel inferior 2– a la tarjeta LAN del PC anfitrión (lista encadenada LSP, librería «vsocklib.dll», si no me falla la memoria), de tal forma que la máq. virtual y la máq. anfitrión no se ven; como en un SWITCH.

    COROLARIO (hacker): ingeniería inversa de vsocklib.dll, que a saber desde cuándo existe (n años, al menos)

    Sólo para observadores y curiosos :-)

  3. En Linux, VMware implementa «bridging» exactamente como debiera ser: mediante Ethernet bridging :)

    Eso no significa que en Linux el anfitrión no pueda ver el tráfico de la máquina virtual. Ni mucho menos. Basta con lanzar «tcpdump» escuchando en el interfaz físico (i.e. eth0). Al fin y a la postre, el tráfico de la máquina virtual pasa por el interfaz físico.

  4. Muy interesante artículo para poder mejorar nuestros entornos. ¿Hay alguien dedicado al estudio de troyanos en PORTANLES? Saludos.

Comentarios cerrados.