Je fais généralement toute ma navigation sur le Web dans une machine virtuelle. J'ai un "coffre-fort" VM exécutant Ubuntu sur lequel des services invités sont installés. Je ne vais généralement que sur des sites que je juge dignes de confiance ici.
J'ai également un "unsafe" VM avec Ubuntu qui n'a pas installé les services invités.
Ce soir, j'utilisais le dangereux VM pour parcourir des zones moins savoureuses d'Internet quand une des fenêtres pop-up ennuyeuses du FBI s'est produite. Pas grand-chose ... et puis je vois Norton depuis ma machine hôte pop-up avec une action bloquée sur C:\Windows\SysWOW64\vmnat.exe. Le nom de l'alerte était "Web Attack: Ransomlock Website 7" et il provenait du faux site Web fbi dans la fenêtre contextuelle. Cela peut ne pas être important ... mais en tant que FYI, j'utilisais Chrome pour surfer.
Je ne comprends pas bien le système VMware NAT, mais cela ressemble-t-il à un malware qui aurait pu fuir du VM sur mon hôte, ou Norton a-t-il un aperçu dans ce que vmnat.exe a pu appeler et renvoyer à la machine virtuelle.
Je veux principalement m'assurer que mon hôte est "sûr", mais je suis également curieux de savoir comment cela fonctionne.
vmnat.exe
est le service de mise en réseau virtuel de VMware: toutes les données réseau allant vers ou depuis un système d'exploitation invité utilisant NAT la mise en réseau passe à travers.
Norton ne peut pas voir l'intérieur de votre machine virtuelle. Au lieu de cela, lorsqu'un programme à l'intérieur du VM fait quelque chose, Norton voit le logiciel de virtualisation effectuer cette action. Dans ce cas, lorsque votre navigateur virtualisé a essayé de télécharger le malware "Ransomlock Website 7", Norton a vu vmnat.exe
en le téléchargeant, mais n'a pas vu que les données seraient ensuite transférées vers un système d'exploitation virtualisé qui ne pourrait pas en être affecté, il a donc bloqué le téléchargement.
Oui, il est possible qu'une attaque éclate sur une machine virtuelle, mais c'est très, très rare.
Abordons d'abord le réseau VM. Une adresse externe, généralement routable, est "l'extérieur" du NAT. Les machines derrière le NAT ont un " inside "adresse qui est généralement non routable.
Le mode ponté agit exactement comme l'interface avec laquelle vous pontez est maintenant un commutateur et le VM est branché sur un port sur celui-ci. Tout agit de la même manière que s'il s'agissait d'une autre machine ordinaire attachée à ce réseau.
Si vous êtes en mode ponté et qu'un malware l'infecte, il peut lire votre table de routage et identifier votre plage réseau pour pivoter vers d'autres machines. Venons-en maintenant à l'infection. Le ransomeware est un malware typique qui verrouille votre machine en cas d'infection. Les images que vous avez vues sur votre écran étaient toutes fausses. Si vous l'aviez remarqué, il devait vous demander de payer une amende pour déverrouiller votre ordinateur. C'est une astuce que le ransomware applique pour voler de l'argent. L'un des moyens par lesquels les ransomewares ont atteint votre machine est que le site Web que vous parcourez a été piraté et qu'une iframe invisible doit être injectée qui vous redirige vers un exploit de navigateur, supprimant et exécutant ainsi le malware sur votre système. C'est une bonne chose que vous ayez un vm séparé pour différentes activités de navigation. Si vous les gardez en mode réseau NAT alors l'infection ne restera qu'à l'intérieur de la machine virtuelle. Vous pouvez imaginer ce qui se serait passé si un ransomeware avait verrouillé votre système d'exploitation hôte.
Notez également que [par exemple avec VirtualBox (sur Win)] l'image "par défaut" pour docker-machine crée généralement un dossier de partage avec tous les/Users, ce qui serait également mauvais (et quelque chose à vérifier ne se produit pas), = NAT ou pas. Néanmoins, cette écriture montée par une infection pourrait potentiellement être arrêtée par un antivirus comme mentionné précédemment.