WEBVTT

00:00.330 --> 00:01.350
教师：在本课中,

00:01.350 --> 00:03.780
我们将讨论虚拟机攻击, 包括VM逃逸､

00:03.780 --> 00:09.360
VM跳跃､ 沙箱逃逸和其他VM问题｡

00:09.360 --> 00:12.680
首先, 我们有VM转义或虚拟机转义｡ 

00:12.680 --> 00:16.230
VM逃逸是一种攻击类型, 其中威胁行为者试图从隔离的虚拟机中退出,

00:16.230 --> 00:21.270
然后直接向底层虚拟机管理程序发送命令｡

00:21.270 --> 00:23.820
因为每个虚拟机都应该是隔离的,

00:23.820 --> 00:27.300
所以执行VM转义应该很难完成｡

00:27.300 --> 00:31.200
毕竟, 每个客户操作系统甚至不应该知道自己是虚拟机的一部分,

00:31.200 --> 00:38.340
因为它仍然认为自己可以完全访问虚拟机管理程序提供的模拟物理机｡

00:38.340 --> 00:44.880
为了使VM逃逸有效, 攻击者必须找到一种方法来直接与底层物理资源（如物理服务器的内存､

00:44.880 --> 00:48.990
硬盘驱动器或处理）进行交互｡

00:48.990 --> 00:53.220
这通常是通过利用虚拟机管理程序代码本身中的漏洞而发生的｡

00:53.220 --> 00:54.480
已经发生了一些这种情况,

00:54.480 --> 01:00.840
制造商在发现这些漏洞后立即开发并发布了补丁｡

01:00.840 --> 01:06.330
在第二类虚拟机管理程序上执行VM逃逸比在第一类虚拟机管理程序上执行VM逃逸更容易｡

01:06.330 --> 01:08.940
如果您使用的是第二类或post-it虚拟机管理程序,

01:08.940 --> 01:14.400
攻击者可能能够访问实际托管虚拟机的底层操作系统｡

01:14.400 --> 01:19.620
如果可以, 他们就可以升级他们的权限并访问同一设备上托管的其他虚拟机,

01:19.620 --> 01:23.820
实际上, 创建一个虚拟机逃逸｡

01:23.820 --> 01:25.620
为了防止虚拟机逃逸,

01:25.620 --> 01:26.910
确保您的客户操作系统､

01:26.910 --> 01:33.270
主机操作系统和虚拟机管理程序都保持修补和最新始终很重要｡

01:33.270 --> 01:36.750
其次, 我们有VM跳跃或虚拟机跳跃｡ 

01:36.750 --> 01:43.860
虚拟机跳跃是一种攻击类型, 威胁行为者试图从一个虚拟机移动到同一主机上的另一个虚拟机｡

01:43.860 --> 01:53.730
虚拟机跳跃攻击将集中在利用虚拟化软件的管理程序或某种功能在两个假定隔离的虚拟机之间移动｡

01:53.730 --> 01:56.340
现在, 虚拟机跳跃听起来类似于虚拟机转义,

01:56.340 --> 02:02.340
但有一个关键的区别, 即虚拟机跳跃现在专注于在一个虚拟机到另一个虚拟机之间移动｡

02:02.340 --> 02:03.818
然而, 当我们谈论VM逃逸时,

02:03.818 --> 02:08.550
它的重点是到达底层虚拟机管理程序或主机操作系统｡

02:08.550 --> 02:11.820
为了防止虚拟机跳跃, 您应该始终确保您的虚拟机管理程序是最新的,

02:11.820 --> 02:13.603
并正确修补｡

02:13.603 --> 02:20.910
此外, 您需要确保使用最佳实践配置指南安全地配置来宾操作系统和虚拟机管理程序,

02:20.910 --> 02:25.650
以确保本应隔离的虚拟机之间没有错误连接｡

02:25.650 --> 02:27.930
第三, 我们有一个沙盒逃生｡ 

02:27.930 --> 02:30.000
沙箱是一种安全机制,

02:30.000 --> 02:31.710
用于分离运行的进程和程序,

02:31.710 --> 02:36.840
以减轻系统故障或软件漏洞的传播｡

02:36.840 --> 02:41.370
最常见的是, 沙箱是使用虚拟机或容器化创建的｡

02:41.370 --> 02:49.950
例如, Web浏览器通常使用沙箱的概念来将运行的Web代码与受保护的操作系统或系统上的其他软件分开｡

02:49.950 --> 02:52.620
现在, 当攻击者能够绕过沙箱保护,

02:52.620 --> 02:59.190
以便为其他特权进程访问受保护的操作系统时, 就会发生沙箱逃逸｡

02:59.190 --> 03:01.130
为了保护您的系统免受沙盒逃逸的影响,

03:01.130 --> 03:08.460
重要的是要确保您的软件和操作系统保持补丁和最新状态, 并确保您在客户端上安装了强大的端点保护软件,

03:08.460 --> 03:16.920
并且在防止Web浏览器沙盒逃逸的情况下限制Web浏览器中安装的扩展或附加组件｡

03:16.920 --> 03:19.530
第四, 在考虑虚拟机和虚拟化环境时,

03:19.530 --> 03:23.160
我们也需要讨论一些问题｡

03:23.160 --> 03:26.250
这包括迁移和数据残留等内容｡ 

03:26.250 --> 03:28.890
现在, 使用虚拟环境的主要好处之一是,

03:28.890 --> 03:30.570
您可以将虚拟机从一台主机迁移到另一台主机,

03:30.570 --> 03:33.270
即使它正在运行｡

03:33.270 --> 03:35.280
这被称为实时迁移｡ 

03:35.280 --> 03:37.290
现在这种迁移是通过网络进行的｡ 

03:37.290 --> 03:48.480
因此, 务必始终确保迁移仅通过受信任的网络或在设置虚拟机的服务器和接收该虚拟机的服务器之间使用适当加密的网络进行｡

03:48.480 --> 03:51.570
但是, 如果实时迁移发生在未加密的连接上,

03:51.570 --> 03:53.700
则该虚拟机中包含的数据可能会暴露给窥探者,

03:53.700 --> 04:01.200
或者其完整性可能会受到攻击者使用路径攻击的影响｡

04:01.200 --> 04:06.840
为了防止这种情况, 虚拟机映像在通过网络从一台服务器发送到另一台服务器之前应该进行加密｡

04:06.840 --> 04:11.580
请记住, 服务器不再只是位于数据中心内的物理设备,

04:11.580 --> 04:16.410
它们也是虚拟机, 只是位于某种文件系统上的文件｡

04:16.410 --> 04:18.930
这些文件可能会被攻击者窃取｡ 

04:18.930 --> 04:27.150
在云环境中使用虚拟机时的另一个主要问题是当您取消多余的虚拟服务器时可能会留下的数据残留｡

04:27.150 --> 04:29.520
许多云提供商利用块存储,

04:29.520 --> 04:34.230
可以允许不再需要的数据留在其存储设备上｡

04:34.230 --> 04:38.700
如果没有正确删除, 未经授权的用户可能会访问这些数据｡

04:38.700 --> 04:40.620
为了减轻这种数据残留的威胁,

04:40.620 --> 04:49.020
您应该始终加密虚拟机存储位置, 并确保在不再需要虚拟机并取消配置时销毁加密密钥｡

04:49.020 --> 04:50.160
在安全性方面,

04:50.160 --> 04:52.650
我们需要讨论的最后一件事是VM蔓延,

04:52.650 --> 04:54.990
也称为虚拟机蔓延｡

04:54.990 --> 04:59.664
现在虚拟机蔓延是一个或多个虚拟机的不受控制的部署｡

04:59.664 --> 05:01.920
这对您的组织来说是一个巨大的漏洞区域,

05:01.920 --> 05:09.030
因为您的网络上到处都是未经授权安装的流氓VM｡

05:09.030 --> 05:11.730
这意味着系统管理并没有针对这些机器进行,

05:11.730 --> 05:14.460
因为您不知道它们的存在｡

05:14.460 --> 05:15.990
因为你不知道它的存在,

05:15.990 --> 05:17.610
所以你没有做安全补丁和更新,

05:17.610 --> 05:23.130
也没有安装反恶意软件解决方案或防病毒软件来保护这些机器｡

05:23.130 --> 05:27.300
正因为如此, 这些VM变得非常容易受到攻击｡

05:27.300 --> 05:30.843
如果攻击者可以找到其中一个由于VM蔓延而导致的流氓VM,

05:30.843 --> 05:40.860
他们将能够进入并攻击它, 并将其作为进入网络其余部分的枢轴点, 然后尝试VM逃逸或VM跳转到网络的其他区域｡

05:40.860 --> 05:42.270
请记住这一点, 因为虚拟机蔓延是一个大问题,

05:42.270 --> 05:54.000
特别是如果您有很多承包商和开发人员在您的网络上工作, 而他们不是您正常团队的一部分, 并且他们没有遵循您正常的更改控制流程｡

05:54.000 --> 06:03.360
因此, 在本课中, 我们再次讨论了您应该考虑的一些安全要求以及可能违反这些安全要求的一些漏洞｡

06:03.360 --> 06:06.330
这包括VM逃逸､ VM跳跃､

06:06.330 --> 06:09.303
沙箱逃逸和虚拟机蔓延等｡