圖片來源: 

賽門鐵克

過去以來資安人員已習於在虛擬機器(VM)上執行與分析惡意程式,沙箱及虛擬技術已然成為許多網路安全解決方案用以找出未知惡意程式的普遍元件,許多惡意程式也會規避虛擬機器,這使得一些企業使用者認為,虛擬化環境能夠對惡意程式免疫。但資安業者賽門鐵克(Symantec)研究發現,虛擬機器並不會比較安全。

賽門鐵克指出,惡意程式攻擊並不會放過虛擬機器。他們同時在實體機器與虛擬機器上執行了20萬個惡意程式樣本,發現只有18%在偵測到所執行的平台為VM時會知難而退。

賽門鐵克資安威脅研究員Candid Wueest指出,有愈來愈多的企業於生產環境中採用虛擬機器,也有大量的伺服器執行虛擬機器來處理日常的事務或實際的數據,根據Forrester Research的調查,有逾7成的企業計畫在明年底前採用伺服器虛擬化技術,於伺服器上建立多個虛擬化環境,也使得虛擬機器成為惡意程式作者覬覦的目標之一。

Wueest說,惡意程式作者希望能夠儘可能地感染更多的系統,若不在VM上執行,那麼就會限制了惡意程式可感染的機器數量,因此,對於惡意程式可正常在虛擬機器上運作應該不用太意外,而且未來還可能添加更多的惡意程式功能。

迄今仍然有些惡意程式會偵測是否處於VM的執行環境,不過這些惡意程式也會發展出一些避免被VM的自動分析系統察覺的技巧。例如這些分析系統會在一定的時間內進行判斷,假使惡意程式未在前5分鐘內從事惡意行為,那麼系統就會將其視為無害,因此,惡意程式若等待系統重開機兩次,或是在達到一定的滑鼠點擊後再開始活動,就可以躲避VM的自動分析機制。

賽門鐵克發現,有些惡意程式在知道自己於虛擬機器上執行後,不但不退縮,而且還傳送錯誤的數據來混淆研究人員,或是讓VM的自動化程序以為它是良性的程式。

值得注意的是,實體機器與虛擬機器上的惡意程式是有機會互相感染的。由於虛擬機器基本上只是一系列存在於實體機器上的檔案,因此若實體機器受到感染,並不難散布到虛擬機器上。反之,虛擬機器上的惡意程式也可感染實體機器,如果這是一台掌管很多虛擬機器的實體伺服器,災情就會更為嚴重。

總之,賽門鐵克建議企業,對待虛擬系統要像對其他系統一樣,也應部署適當的保護機制以免於受到惡意程式的威脅。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容