Crisis, un malware che attacca anche VMware virtual machine

Crisis, un malware che attacca anche VMware virtual machine

Il malware Crisis sarebbe in grado di rilevare la presenza di immagini VMware virtual machine, montare tali volumi e copiare all'interno dell'immagine i propri componenti

di pubblicata il , alle 09:35 nel canale Sicurezza
VMware
 

Ci sono novità in merito alle caratteristiche di Crisis, malware individuato nello scorso mese di giugno e in un primo tempo definito come minaccia per il solo ecosistema Mac. Stando a quanto rilevato da Symantec la situazione sarebbe ben differente e per certi versi particolare, infatti Crisis sarebbe in grado di attaccare virtual machine create con tool di VMware.

Stando a quanto segnalato da Symantec il malware qualora rilevi sul sistema attaccato la presenza di una virtual machine VMware è in grado di effettuare il mount - pare sfruttanto VMware Player - e di replicarsi all'interno dell'immagine virtuale. Questa caratteristica è decisamente insolita, infatti in molti altri casi i malware sono dotati di sistemi tali da evitare contatti con gli ambienti virtualizzati, soluzioni tipicamente usate per le fasi di analisi.

Quanto osservato per Crisis è importante e deve portare l'attenzione dell'utente sul reale livello di sicurezza offerto dagli ambienti virtualizzati, che da taluni vengono erroneamente indicati come immuni al malware. Dalle analisi condotto da Symantec e Kaspersky emerge però anche un dato tutto sommato confortante: Crisis sarebbe stato rilevato in rarissimi casi (alcuni in Italia) e ciò farebbe pensare a un malware utilizzato per attacchi mirati piuttosto che per azioni mainstream.

Crisis si diffonde con tecniche di ingegneria sociale presentandosi come un pacchetto di installazione di componenti Adobe. C'è però un ultimo ambito di Crisis che tiene occupati i ricercatori: il malware sarebbe in grado anche di attaccare eventuali smartphone dotati di Windows Mobile collegati a un PC infetto. Crisis copierebbe su questi terminali un modulo le cui caratteristiche non sono ancora ben note.

Symantec fa riferimento a Windows Mobile come potenziale target, e non alle più recenti evoluzioni del sistema operativo mobile di Microsoft. Android e iOS non vengono invece citati. Attendiamo ulteriori dettagli per proporre un approfondimento dedicato a questo argomento.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie22 Agosto 2012, 09:52 #1
ma in VM dal sistema main infetta il guest oppure anche viceversa?

Sono due livelli ben diversi di gravità!
xcavax22 Agosto 2012, 09:57 #2
dal grafico e da quello scritto sembrerebbe che l'infezione sia da host verso guest.
se fosse il contrario andrebbe a farsi benedire tutto il discorso di vm completamente slegata dall'host oppure in vmware c'è un bel bug!
Mikon22 Agosto 2012, 10:13 #3
se l'infezione e' da guest verso host, non basterebbe istallare sempre vmware dentro sandbox per stare tranquilli al 100% ?
Dave8322 Agosto 2012, 10:15 #4
E fu così che i Mac infestarono di virus tutto il mondo conosciuto...
gianluca-198622 Agosto 2012, 10:19 #5
Quanto osservato per Crisis è importante e deve portare l'attenzione dell'utente sul reale livello di sicurezza offerto dagli ambienti virtualizzati, che da taluni vengono erroneamente indicati come immuni al malware

sembra un pò troppo allarmistica come notizia...
ok la replica da host a guest, ma arrivare a frasi come quella sopra
poi un ambiente virtualizzato basato su vSphere, a livello di sicurezza, è ben lontano da uno con windows/osx/linux e vmw workstation/virtualbox/parallels
evitiamo di fare di tutta l'erba un fascio
evil weasel22 Agosto 2012, 10:55 #6
questo è l'articolo pubblicato sul sito Symantec: http://www.symantec.com/connect/blo...irtual-machines

l'infezione è da host a VM, non da VM ad host.
gianluca-198622 Agosto 2012, 11:23 #7
Originariamente inviato da: evil weasel
questo è l'articolo pubblicato sul sito Symantec: http://www.symantec.com/connect/blo...irtual-machines

l'infezione è da host a VM, non da VM ad host.


quindi in parole povere "apre" il file vmdk e ci piazza dentro una copia di se stesso...
niente di catastrofico quindi

tra l'altro del grafico pare che funzioni solo se la macchina host sia windows...quindi ancora meno di cui preoccuparsi!
evil weasel22 Agosto 2012, 11:28 #8
Originariamente inviato da: gianluca-1986
quindi in parole povere "apre" il file vmdk e ci piazza dentro una copia di se stesso...
niente di catastrofico quindi

tra l'altro del grafico pare che funzioni solo se la macchina host sia windows...quindi ancora meno di cui preoccuparsi!


esatto
biffuz22 Agosto 2012, 12:11 #9
Originariamente inviato da: gianluca-1986
quindi in parole povere "apre" il file vmdk e ci piazza dentro una copia di se stesso...


No, è ancora più semplice: se rileva una VM in esecuzione si collega ad essa come un drive esterno ed è poi Windows sulla VM che esegue l'autorun. Suppongo sia una ISO che viene "inserita" nel lettore virtuale.

Modificare il VMDK sarebbe spaventosamente più complicato, senza contare il fatto che dovrebbe sapere come modificare anche l'NTFS.

tra l'altro del grafico pare che funzioni solo se la macchina host sia windows...quindi ancora meno di cui preoccuparsi!


Virtualizzare Windows su Windows è una pratica molto diffusa in ambienti lavorativi, prima solo tra sviluppatori e sistemisti ma ormai ho già visti diversi utenti che virtualizzano XP su 7 per usare questo o quel programma.

E a ben pensarci, VMWare è più usato in ambito lavorativo che casalingo dove si preferisce VirtualBox, così come Windows Mobile. Sembra proprio che il target di questo malware siano proprio gli ambienti lavorativi.
gianluca-198622 Agosto 2012, 12:20 #10
Originariamente inviato da: biffuz
No, è ancora più semplice: se rileva una VM in esecuzione si collega ad essa come un drive esterno ed è poi Windows sulla VM che esegue l'autorun. Suppongo sia una ISO che viene "inserita" nel lettore virtuale.

Modificare il VMDK sarebbe spaventosamente più complicato, senza contare il fatto che dovrebbe sapere come modificare anche l'NTFS.



Virtualizzare Windows su Windows è una pratica molto diffusa in ambienti lavorativi, prima solo tra sviluppatori e sistemisti ma ormai ho già visti diversi utenti che virtualizzano XP su 7 per usare questo o quel programma.

E a ben pensarci, VMWare è più usato in ambito lavorativo che casalingo dove si preferisce VirtualBox, così come Windows Mobile. Sembra proprio che il target di questo malware siano proprio gli ambienti lavorativi.


beh ma il mio confronto era tra vsphere/hiper-v/kvm in ambienti di produzione e vmware ecc in ambienti "desktop"&simili
siccome i primi ne sono esclusi, per quel che mi riguarda non è niente di cui preoccuparmi seriamente (sono un sistemista )
il vmdk alla fine è un file, una volta che sai com'è fatto lo manipoli come vuoi
certo, non è come aggiungere una riga ad un .txt

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^