MJ0011 系统级沙箱弱点及逃逸技巧

ujty

Tron 发表于 2011-7-23 01:40
虚拟化escape的手段也很多，以VMWARE为例，最常见的攻击手法就有文件共享路径遍历的漏洞，当然这个比较局 ...

共享文件夹遍历？这个是不是目前版本的VMware已经修复啦？
是不是可以这样认为：guest机和host机之间的沟通本身就是一个可以被利用的后门？

Tron

ujty 发表于 2011-7-23 01:47
共享文件夹遍历？这个是不是目前版本的VMware已经修复啦？
是不是可以这样认为：guest机和host机之间的沟 ...

沟通是必须的，比如负责显示的VGA驱动。

ujty

Tron 发表于 2011-7-23 01:53
沟通是必须的，比如负责显示的VGA驱动。

没错。感谢大侠指点！

郑伟用户

dm34343667 发表于 2011-7-22 21:13
虚拟机可以穿？求大牛科普

还别说，这可能有，今年2月份在虚拟机运行病毒跑实机了，不过不知道为什么，是否和网络有关。后来样本给金山了，那次惨了

jzx8270056

哈哈~~  这会开的！
又能口水很长时间了！

gmen_pliskin

一般都会在虚拟机上装一个补丁，用于和主机共享文件之类的，估计这里也有漏洞吧。

leisong

郑伟用户 发表于 2011-7-23 02:21
还别说，这可能有，今年2月份在虚拟机运行病毒跑实机了，不过不知道为什么，是否和网络有关。后来样本给金 ...

你把这病毒发虚拟区立马轰动整个区以及整个论坛。

不是说没有病毒能穿虚拟机，而是不值得去研究这个，没有回报

gmen_pliskin

leisong 发表于 2011-7-23 11:58
你把这病毒发虚拟区立马轰动整个区以及整个论坛。

不是说没有病毒能穿虚拟机，而是不值得去研究这个， ...

对啊，穿虚拟机又怎样，对攻击者没有产生任何利益。他们才懒得去搞。

dl123100

Tron 发表于 2011-7-23 00:24
我的topic里有提到，comodo的不可信任级别算是这几家中安全性最好的，可惜兼容性太差可用性低

其实卡巴 ...

看了大牛的slide，我也提几点想法。
avast sandbox我记得也有Ring0拦截(A)LPC的部分，不过主要是为了标记、识别，被过也正常，这个之前算是想到了。
卡巴没多少看过，类似那个问题的早期Vista安全桌面貌似也有，卡巴没注意有点囧。
Comodo那个只能怪我太不深入了,这几个以前大牛都提示过我，后来也分析过。一直跟Comodo sandbox的开发人员有联系，对Comodo sandbox的一些问题也知道一点。个人觉得不算limited模式的话，Comodo很多地方还不如其它的一些sandbox。而且听说接下来的新一代sandbox会加入一些我认为比较无聊的dirty tricks，所以一直对Comodo的sandbox不怎么有好感。
金山沙箱的话，我觉得其它三个比差距是非常大的。除了本身的安全漏洞，它的设计打破了一些系统内置的安全防护机制（虽然那些不能算security boundry），像本身以启动进程时的权限、触发hook时重载导致一些系统机制的破坏甚至加载不相干的模块，还有像不完整的重定向和过滤。。。总之，那样的沙箱我是不敢用它运行病毒、木马的。本来以为你在演讲时也会提到一些的。

Ventureminking

dl123100 发表于 2011-7-23 12:09
看了大牛的slide，我也提几点想法。
avast sandbox我记得也有Ring0拦截(A)LPC的部分，不过主要是为了标记 ...

小白膜拜大牛