会攻击VMware虚拟机的新病毒Crisis

Crisis是一款在 7 月下旬就开始传播的新恶意软件家族成员,曾被很多防毒软件厂商报导过。该病毒主要感染运行 Mac OSX 的机器,而安全研究人员最近发现,有些新的 Crisis 变种也会感染 VMware 虚拟机和 Windows Mobile 系统。

有很多媒体报导一种会攻击 VMware 虚拟机的新病毒或恶意软件:Crisis(也叫做Morcut)。这是一款在 7 月下旬就开始传播的新恶意软件家族成员,曾被很多防毒软件厂商报导过,包括趋势科技。该病毒主要感染运行 Mac OSX 的机器,而安全研究人员最近发现,有些新的 Crisis 变种也会感染 VMware 虚拟机和 Windows Mobile 系统。

下面是个实用指南,主要为您提供在面对这类不明疑惧事件时需要知道的信息,以及在短期与长期阶段该做的事情。

先来复习一下,目前的虚拟化主要是通过两种类型的虚拟主机管理程序部署的:

1.第一类虚拟主机管理程序部署 – 最主要的例子是 VMware ESX、Citrix XenSource 等。可以将这类产品想成是替代一般主机操作系统(例如 Windows 或 Linux)的系统,需要直接在物理机器的硬件上运行。这种软件本身就像是操作系统,可以直接控制硬件。随后通过管理程序同时运行多个虚拟机。几乎所有数据中心都部署了这类虚拟化产品。这类软件并不会被这个恶意程序所攻击。我也不知道实际上有哪种在外流传的恶意软件可以感染第一类虚拟主机管理程序。

2.第二类虚拟主机管理程序部署 – 例如VMware Workstation、VMware Player 等,这类虚拟主机管理程序需要安装在标准操作系统(例如 Windows 或 Linux)之上,再运行多个虚拟机。而这第二种类型是恶意软件能够感染的。首先,主机操作系统先受到感染。可能是一次已知的 Windows 或 Mac OS 攻击(所以要先检测操作系统,然后安装对应的可执行文件)。接着会寻找 VMDK 文件,并利用虚拟主机工具(VMplayer)感染虚拟机。而这类型感染是可以利用更新防病毒软件的方法加以预防的。

即使这个受感染的虚拟机被移动,并转为在第一类虚拟主机管理程序中运行(这只是一个假设性的讨论),它也会被限制在虚拟机里,因为端点安全程序会防止虚拟机间的网络通讯以及 I/O 通讯。

那么,这有什么大不了的?

虚拟机就和物理机器一样,如果不修补漏洞,一样会让恶意软件感染操作系统或应用程序,或是会被针对用户的社会工程学攻击所入侵。而针对这次的问题,有两个因素让 Crisis 显得既新颖又独特:

首先,该恶意软件会明确地找到存在的虚拟机,并试图加以感染。

其次,它会通过底层基础架构感染虚拟机,也就是通过修改 VMDK 文件的方式,而不是通过传统手段,例如远程网络、网页访问,或文件分享等方式进入虚拟机。

除了这些有趣的特性外,我们不认为这个恶意软件有什么明显的威胁。在真实世界里的感染率非常低(小于 100 个案例),所以它看来不会出现大规模扩散,也不可能有迅速传播的能力。话虽如此,如果担心的话,您还是应该采取一些预防措施:

保护您的虚拟机 – 您珍贵的应用程序和数据是所有攻击的最终目标,Crisis 只是让目标更加明确。要确认在物理机器和虚拟主机上有防病毒软件或其他层次的保护,这样才能保障安全,例如您可以使用趋势科技 Deep Security或趋势科技 OfficeScan。

限制对 VMDK 文件的访问 – 虽然 Crisis 只针对一般主机上的虚拟主机管理程序,而非数据中心。但这里的根本问题是,任何可访问 VMDK 文件的人都可以对您的虚拟桌面或虚拟机(包括 vSphere 或 View)做出不好的事情。

Morcut/Crisis(危机)病毒小档案

Morcut/Crisis(危机)病毒会感染 VMWare 虚拟机,并且可以在多个系统平台上运行传播。Morcut/Crisis(危机)有以下两点与普通病毒不同:

1、目标明确,它会搜索是否有虚拟机存在并尝试感染。

2、通过基础架构对虚拟机进行感染。例如通过修改 .vmdk 文件,而不是通过传统手段,例如远程控制或文件分享等方式入侵虚拟机。

该病毒通过直接修改在宿主机物理服务器上的 VMDK 文件对虚拟机进行感染。也就是说,如果某台宿主机物理服务器(Windows/MAC OS)感染了该病毒,并且机器上安装了 VMWARE 的工具(例如 WORKSTATION、vSphere、View),则该机器有权限访问的虚拟机都有被感染的可能。感染病毒后,该虚拟机会有信息泄漏的风险,同时可能会被植入后门程序。

该病毒对虚拟机的传播依赖 VMWARE 提供的正常功能,不存在对漏洞的利用,所以被感染的虚拟机并不会将病毒传播给其他虚拟机(但可能由于宿主机物理服务器感染,所以其他虚拟机也会被感染)。

该病毒的主要恶意行为是窃取信息和后门植入,不管是在虚拟机还是在宿主机物理服务器中,病毒的行为都是一样的。

恶意行为

首先,该病毒会利用一个恶意的 Java applet(被命名为 JAVA_MORCUT.A*)抵达计算机。这个 Java applet 中包含的代码会检测目标计算机运行的是什么操作系统。

在Mac系统上,Java applet 会释放并运行 OSX_MORCUT.A,该病毒的恶意行为与大多数 Windows 平台上的后门程序类似。OSX_MORUCT.A 具有的最不寻常的行为是能够打开系统麦克风,可能是为了进行信息盗窃。

在 Windows 系统上,这个 Java applet 会释放 WORM_MORCUT.A,接着释放其它若干文件,其中之一被命名为 WORM_MORCUT.A;另一些组件文件被命名为 RTKT_MORCUT.A**。它的主要功能是通过 USB 和虚拟机进行传播。它可以搜索系统上的 VMware 虚拟磁盘,并将自身的病毒副本释放到虚拟机中。Windows 版本的 MORCUT 和 Mac 版本一样,也能够录制音频。

技术细节

被命名为 JAVA_MORCUT.A 的 JAVA applet 会下载一个压缩包,其中包含两个文件:运行在 MAC 系统上的后门程序 OSX_MORCUT.A 和运行在 Windows 系统上的蠕虫病毒(命名为 WORM_MORCUT.A)。接着该文件会释放以下组件文件:

IZsROY7X.-MP (32位DLL)定义为WORM_MORCUT.A

t2HBeaM5.OUk (64位DLL)定义为WORM_MORCUT.A

eiYNz1gd.Cfp

WeP1xpBU.wA (32位驱动程序)检测为RTKT_MORCUT.A

6EaqyFfo.zIK (64位驱动程序)检测为RTKT_MORCUT.A

lUnsA3Ci.Bz7 (32位DLL)非恶意文件

根据趋势科技的初步分析,WORM_MORCUT.A 具有通过 USB 设备和 VMware 虚拟磁盘传播的能力。它会使用驱动程序组件 RTKT_MORCUT.A 挂载到虚拟磁盘上。虽然该病毒具有较强的传播能力,但我们没有发现大量感染 WORM_MORCUT.A 和 TROJ_MORCUT.A 的情况。

注意

该病毒在感染过程中并不会利用漏洞。此外,只有 VMWare 的虚拟机会受到该病毒的威胁,其他虚拟机平台不受影响。而且几乎所有部署了虚拟机的数据中心都不会受到影响。

解决方案

请限制 VMDK 的访问。“危机”这种病毒只针对宿主机的虚拟机管理程序,而不针对数据中心,它会使任何可以访问 .vmdk 文件的程序在您的虚拟磁盘或虚拟机上执行恶意行为,其中包括 vSphere 或 View。

保护您的虚拟机。任何攻击的最终目标是您有价值的应用程序和数据,“危机”的目标更为明确。请务必安装反病毒软件和其他安全产品,借此保护您服务器和桌面的安全,例如您可以使用趋势科技 Deep Security或趋势科技 OfficeScan。