КОПИРОВАНИЕ СОДЕРЖИМОГО ОЗУ ВИРТУАЛЬНОЙ МАШИНЫ КАК СПОСОБ НАРУШЕНИЯ БЕЗОПАСНОСТИ ВИРТУАЛЬНОЙ СИСТЕМЫ

COPYING THE CONTENTS OF THE RAM OF A VIRTUAL MACHINE AS A WAY TO VIOLATE THE SECURITY OF A VIRTUAL SYSTEM

Vitalii Kalinin

student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Tatyana Ivanova

student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Artem Postnikov

student, Department of Geology and Oil and Gas business, Sakhalin state University, Russia, Yuzhno-Sakhalinsk

АННОТАЦИЯ

С развитием технологий виртуализации стало гораздо проще разделять физическое устройство для исполнения разнородных задач, или же для разделения вычислительной системы между несколькими пользователями (если мы говорим, о таком явлении как VPS – Virtual Private Server). Однако, вместе с этим особую важность получил и вопрос обеспечения безопасности виртуальных машин, не только от друг друга (ведь такого рода защиту обеспечивают любые коммерчески используемые гипервизоры – те же Hyper-V или ESXI), но и от действий с аппаратной частью. Поэтому в данной статье анализируется метод нарушения безопасности виртуальных систем путем копирования содержимого ОЗУ, при наличии аппаратного доступа к хостинг системе в целях предотвращения подобных инциндентов.

ABSTRACT

With the development of virtualization technologies, it has become much easier to separate a physical device to perform heterogeneous tasks, or to divide a computing system between several users (if we are talking about such a phenomenon as a VPS – Virtual Private Server). However, at the same time, the issue of ensuring the security of virtual machines has become particularly important, not only from each other (after all, this kind of protection is provided by any commercially used hypervisors – the same Hyper-V or ESXI), but also from actions with the hardware. Therefore, this article analyzes the method of violating the security of virtual systems by copying the contents of RAM, if there is hardware access to the hosting system in order to prevent such incidents.

Ключевые слова: виртуализация, информационная безопасность, копирование ОЗУ.

Keywords: virtualization, cybersecurity, RAM copying.

Для анализа метода копирования содержимого ОЗУ виртуальной машины будет подробно разобран подход с использованием гипервизора VirtualBox разработки Oracle версии 7.0.18 и операционной системы (далее - ОС) Ubuntu Desktop разработки Canonical версии 24.04 LTS. Аналогичны действия производимы и с другими программными решениям и иными ОС.

Для, этого была создана виртуальная машина с названием “UBUNTU-TEST” со следующими основными параметрами виртуализации:

• объем виртуального ОЗУ – 4 ГБ;
• количество доступных ядер процессора – 4;
• интернет-соединение – отсутствовало.

При установке системы, Ubuntu Desktop предлагает создать нового пользователя (рис. 1). В качестве пароля был использован “pass_for_user”. Для упрощения возможности последующего анализа слепка виртуального ОЗУ и выявления факта наличия пароля создаваемого пользователя в таковом слепке.

Рисунок 1. Окно создания нового пользователя при установке операционной системы Ubuntu Desktop

Кроме того, для выявления в ходе анализа проблемы возможности извлечения пароля файловой системы, зашифрованной при помощи встроенной утилиты LUKS, во время установки был указан и пароль для таковой “luks@pass689” (рис. 2) [1].

Рисунок 2. Создание зашифрованного раздела LUKS

В последствии, используя встроенную в пакет VirtualBox утилиту VBoxManage, был создан слепок ОЗУ виртуальной машины “UBUNTU-TEST” при помощи следующей команды: «VBoxManage debugvm "UBUNTU-TEST" dumpvmcore --filename "c:\Users\anon\Desktop\RAM-UB.elf"», сохраняющей его на рабочий стол пользователя хост устройства [2, 4].

Для анализа полученного слепка ОЗУ применялся специализированный программный продукт FTK Imager разработки AccessData версии 3.1.2.0.

Поиском по ключевым слова (вводим при установки ОС данным) удалось установить наличие парольных фраз в слепке ОЗУ, сделанным сразу после ввода всех необходимых для продолжения установки ОС данных. Парольные фразы были доступы как для созданного пользователя, так и для созданной файловой системы LUKS (рис. 3 и рис. 4 соответственно).

Рисунок 3. Обнаруженный пароль пользователя в слепке ОЗУ виртуальной машины

Рисунок 4. Обнаруженный пароль LUKS в слепке ОЗУ виртуальной машины

Кроме того, были обнаружены и хранящиеся символы, введенные пользователем с клавиатуры, что позволяет сделать выводы о том, что даже мгновение хеширование и/или любой другой программный способ защиты данных в оперативной памяти не является эффективным при использовании виртуализации [3].

В результате проведенного анализа можно сделать следующие выводы. Во-первых, метод создания слепка (копирования) содержимого ОЗУ позволяет получать доступ к критической информации, включая парольные фразы и нажатия клавиш, что может быть причиной нарушения безопасности виртуальных систем в особенности с распространением использования услуг VPS провайдеров.

Список литературы:

1. Bossi, S. What users should know about Full Disk Encryption based on LUKS / S. Bossi, R. Visconti // Proceedings of the 14th International Conference on Cryptology and Network Security . – Milano : Universit`a degli Studi di Milano, 2015. – P. 1-16.
2. Breaking Luks encryption from a Memory Dump // Unix & Linux StackExchange: сайт. – URL: https://unix.stackexchange.com/questions/664454/breaking-luks-encryption-from-a-memory-dump (дата обращения: 29.08.2024)
3. Dump Virtual Box Memory // Red Team Notes : сайт. – URL: https://www.ired.team/miscellaneous-reversing-forensics/dump-virtual-box-memory (дата обращения: 29.08.2024)
4. Get a memory dump of a virtual machine from its hypervisor // Kaspersky Support : сайт. – URL: https://forum.kaspersky.com/topic/how-to-get-a-memory-dump-of-a-virtual-machine-from-its-hypervisor-36407/ (дата обращения: 29.08.2024)