嗜血法医_法医分析有助于弥合虚拟机监控程序漏洞

嗜血法医

2019年6月，美国国家标准技术研究院（NIST）发布了其NISTIR 8221草案，即“使用Hypervisor漏洞数据启用取证分析的方法”。

该报告提供了有关如何使用法医分析检测，重建和预防基于虚拟机管理程序漏洞的攻击的指南。该报告重点介绍了两个开放源代码管理程序-Xen（在Linux内核中）和基于内核的虚拟机（ KVM ）-来说明该方法。

Xen与KVM

Xen是1型管理程序，而KVM可以是1型或2型管理程序。

Type 1虚拟机管理程序是裸机虚拟机管理程序，直接在主机的硬件上运行以控制硬件和管理来宾操作系统。

Type 2虚拟机管理程序作为一个进程在操作系统上运行，并将Type 1虚拟机管理程序的其他功能添加到大多数Linux操作系统中。例如，在商业XenServer中，Red Hat Enterprise Virtualization使用KVM，而Critix使用Xen。

NIST从2016年和2017年NIST国家漏洞数据库中收集并分析了83个Xen和20个KVM产品中的管理程序漏洞。根据其基础虚拟机管理程序功能，攻击类型和攻击源对它们进行分类。分析未包括2017年之后发生的所有虚拟机监控程序漏洞。

法医分析

发起了两个示例攻击，以利用虚拟机管理程序功能中的漏洞。在样本攻击结束后，NIST能够确定检测和重建攻击以进行进一步检查所需的证据空白。在随后的攻击运行期间，收集丢失证据所需的技术已纳入法医分析。

由Xen和KVM虚拟机管理程序漏洞引起的攻击类型包括：

拒绝服务（DoS）；
特权升级；
信息泄漏；
任意代码扩展；
未经授权的文件读取，修改和删除；和
其他，例如数据损坏或取消管理员的其他操作。

最常见的攻击是DoS，Xen攻击占44％，KVM攻击占63％。该结果表明，对云服务可用性的攻击可能是一个严重的安全问题。其他主要攻击是特权提升-Xen为30％，KVM为11％，信息泄漏-Xen为14％，KVM为19％和任意代码执行-Xen和KVM均为7％。

尽管每种攻击的发生频率都比DoS攻击的发生频率低，但它们都具有潜在的风险，例如用户信息泄漏或受损的主机或来宾VM 。

该报告还将攻击源分为五类：

管理员;
来宾操作系统管理员；
来宾OS用户；
远程攻击者；和
主机操作系统用户

最高的攻击来源来自客户机OS用户-Xen为76％，KVM为85％。 NIST建议云提供商应密切监视访客用户的活动，以减少攻击风险。第二高的攻击来源来自来宾操作系统管理员-Xen为20％，KVM为5％。

尽管NIST采取的法医分析方法可缩小差距，但企业用户应超越这些结果以提高安全性。考虑其他因素（例如，如何克服管理程序无法生成足够的熵），可以加强数据保护并减少系统中的管理程序漏洞。

翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Forensic-analysis-helps-close-gaps-in-hypervisor-vulnerabilities

嗜血法医