嗜血法医_法医分析有助于弥合虚拟机监控程序漏洞
嗜血法医
2019年6月,美国国家标准技术研究院(NIST)发布了其NISTIR 8221草案,即“使用Hypervisor漏洞数据启用取证分析的方法”。
该报告提供了有关如何使用法医分析检测,重建和预防基于虚拟机管理程序漏洞的攻击的指南。 该报告重点介绍了两个开放源代码管理程序-Xen(在Linux内核中)和基于内核的虚拟机( KVM )-来说明该方法。
Xen与KVM
Xen是1型管理程序,而KVM可以是1型或2型管理程序 。
Type 1虚拟机管理程序是裸机虚拟机管理程序,直接在主机的硬件上运行以控制硬件和管理来宾操作系统。
Type 2虚拟机管理程序作为一个进程在操作系统上运行,并将Type 1虚拟机管理程序的其他功能添加到大多数Linux操作系统中。 例如,在商业XenServer中,Red Hat Enterprise Virtualization使用KVM,而Critix使用Xen。
NIST从2016年和2017年NIST国家漏洞数据库中收集并分析了83个Xen和20个KVM产品中的管理程序漏洞。 根据其基础虚拟机管理程序功能,攻击类型和攻击源对它们进行分类。 分析未包括2017年之后发生的所有虚拟机监控程序漏洞。
法医分析
发起了两个示例攻击,以利用虚拟机管理程序功能中的漏洞。 在样本攻击结束后,NIST能够确定检测和重建攻击以进行进一步检查所需的证据空白。 在随后的攻击运行期间,收集丢失证据所需的技术已纳入法医分析。
由Xen和KVM虚拟机管理程序漏洞引起的攻击类型包括:
- 拒绝服务(DoS);
- 特权升级;
- 信息泄漏;
- 任意代码扩展;
- 未经授权的文件读取,修改和删除; 和
- 其他,例如数据损坏或取消管理员的其他操作。
最常见的攻击是DoS,Xen攻击占44%,KVM攻击占63%。 该结果表明,对云服务可用性的攻击可能是一个严重的安全问题。 其他主要攻击是特权提升-Xen为30%,KVM为11%,信息泄漏-Xen为14%,KVM为19%和任意代码执行-Xen和KVM均为7%。
尽管每种攻击的发生频率都比DoS攻击的发生频率低,但它们都具有潜在的风险,例如用户信息泄漏或受损的主机或来宾VM 。
该报告还将攻击源分为五类:
- 管理员;
- 来宾操作系统管理员;
- 来宾OS用户;
- 远程攻击者; 和
- 主机操作系统用户
最高的攻击来源来自客户机OS用户-Xen为76%,KVM为85%。 NIST建议云提供商应密切监视访客用户的活动,以减少攻击风险。 第二高的攻击来源来自来宾操作系统管理员-Xen为20%,KVM为5%。
尽管NIST采取的法医分析方法可缩小差距,但企业用户应超越这些结果以提高安全性。 考虑其他因素(例如,如何克服管理程序无法生成足够的熵) ,可以加强数据保护并减少系统中的管理程序漏洞。
翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Forensic-analysis-helps-close-gaps-in-hypervisor-vulnerabilities
嗜血法医
嗜血法医_法医分析有助于弥合虚拟机监控程序漏洞相关推荐
- 服务器上可以监控虚拟机操作吗,虚拟机监控程序
本词条缺少概述图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧! 虚拟机监控程序,是一种为来宾操作系统实现抽象的物理硬件的软件,在系统上,"虚拟"运行的来宾提供一套虚拟化硬 ...
- kernel 3.10代码分析--KVM相关--虚拟机创建\VCPU创建\虚拟机运行
分三部分:一是KVM虚拟机创建.二是VCPU创建.三是KVM虚拟机运行 第一部分: 1.基本原理 如之前分析,kvm虚拟机通过对/dev/kvm字符设备的ioctl的System指令KVM_CREAT ...
- 电路分析导论_生存分析导论
电路分析导论 In our extremely competitive times, all businesses face the problem of customer churn/retenti ...
- Python爬虫_案例分析(二)
Python爬虫_案例分析(二) 一.电影天堂案例 import scrapy from scrapy_movie.items import ScrapyMovieItem class MvSpide ...
- 第09章_性能分析工具的使用
第09章_性能分析工具的使用 文章目录 1. 数据库服务器的优化步骤 2. 查看系统性能参数 3. 统计SQL的查询成本:last_query_cost 4.定位执行慢的 SQL:慢查询日志 4.1 ...
- 实战微博互动预测之一_问题分析 以及 分布式下的事件驱动机制(Pub与Sub模式)
实战微博互动预测之一_问题分析 2017年12月08日 13:21:04 xieyan0811 阅读数:2390 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csd ...
- oracle asm中candidate,【Oracle ASM】关于asm实例与db实例中的磁盘状态_详细分析过程...
现象描述ITPUB个人空间O Q9g.B,c/j操作系统: Enterprise Linux 5.5ITPUB个人空间z7f$Lu#\"f V :oracle 10.2.0.4 RAC+AS ...
- Hyper-V无法启动虚拟机因为虚拟机监控程序未运行
windows10 企业版 使用Hyper-V,结果启动的时候发现报错"无法启动虚拟机因为虚拟机监控程序未运行". 解决方式 在网上查资料找到以下几种方法: CPU不支持.我的支持 ...
- 解决Hyper-V虚拟机监控程序未运行
吐槽 多年以后,又用到了虚拟机,很久以前就对自己说不用docker了,没想到又被Docker坑了,这里就说虚拟机吧,Docker就不说了,强烈建议放弃它,二次坑被坑. 弃用Hyper-V 这里 ...
最新文章
- JS实现录音,播放完整代码带示例图
- Pycharm 创建 Django admin 用户名和密码
- 大快网站:如何选择正确的hadoop版本
- 警惕“***性社工”现象
- matlab圆形器件,计算围绕点+ Matlab的圆形箱
- MITRE 发布 2020 CWE Top 25 榜单
- Alluxio在多级分布式缓存系统中的应用
- 陈俊龙:从深度强化学习到宽度强化学习—结构,算法,机遇及挑战
- excel冻结窗口怎么设置_粗暴讲解,2分钟 | 即懂excel 冻结首行、首列和单元格怎么弄?...
- 中国主要山脉及山峰分布
- Feignclient 400解决方法
- 计算机弹奏两只老虎爱跳舞,原神风物之诗琴乐谱大全 原神风物之诗琴谱乐谱弹奏攻略...
- KS值是衡量分类模型预测准确度的重要指标之一,它反映了模型预测结果与实际数据分布差异的程度。本文将介绍什么是KS值,如何计算以及在Python中如何实现。
- BEA-3XXXXX错误代码
- 【历史上的今天】9 月 15 日:华为诞生;Stack Overflow 网站公开测试;计算机协会成立
- 星志远电商:拼多多头像如何保存?
- Sendmail大全
- Python+Selenium爬虫--判断元素是否存在
- Java阻塞队列-BlockingQueue介绍及实现原理
- 小猪o2o源码v14.17双系统版(生活通+营销系统)怎么配置微信支付和支付宝支付
热门文章
- 3.4企业实训 网页开发
- mac 上彻底卸载atom
- echarts折线图——示例
- JAVA学习(八):JAVA文件编程
- 8.1 切比雪夫近似值求正余弦
- 电脑主板的BIOS参数为何要使用电池来存储?
- 分享个哄女孩的桌面 轻量级 解压软件
- Thymeleaf 人家写的博客真tm牛逼
- 【FATE联邦学习】standalone版Fateboard修改配置
- 上云发送邮件报 Could‘t connect to host,port: smtp.exmail.qq.com,25; timout -1解决方式