Ein- und Ausbrechen von Viren/Trojanern in VM

Suzanna

Cadet 2nd Year
Registriert
Jan. 2016
Beiträge
16
Servus,

für Onlinebanking und Brokerage möchte ich in Windows 10 eine VM nutzen. Wenn jetzt die VM auch Windows 10 als OS hat, wie schwer wäre es für einen Trojaner im Hostsystem, die Daten der VM mitzuloggen? Letztendlich könnte ja ein Trojaner auch die Dateien der VM einfach auslesen, manipulieren und sich selber im Gastsystem installieren?

Und wie sieht es aus bei Linux als Gastsystem?

Macht das Vorhaben Sinn oder funktioniert das Ganze nur wenn ich ein zweites Windows/Linux als Dualboot nebendran nutze und nicht als VM?
 
generell ist vieles möglich, die andere Frage ist ob man sich den programmieraufwand macht für spezialfälle wie du beschreibst. generell ist eine VM für banking nicht verkehrt, aber wenn du updates zeitnah installierst und beim surfen den kopf einschaltest solltest du relativ sicher sein. 100%ige sicherheit gibt es nie
 
  • Gefällt mir
Reaktionen: Cool Master und BrainLagg
Wenn du den Keylogger auf deinem Host hast bringt dir die VM auch nicht ganz so viel, du gibst ja trotzdem die Zugangsdaten über deine Tastatur ein..
 
  • Gefällt mir
Reaktionen: jb_alvarado und Cool Master
Ein Live-System wäre der Weg für dich. Zum Beispiel etwas wie Tails.
 
ist der host kompromitiert, dann sind es auch die VMs - egal welches os diese haben. dualboot wäre sicherer, wenn das zweite os verschlüsselt ist. ansonsten könnte die malware direkt auf dessen dateisystem zugreifen. idealerweise würdest du ein live-system benutzen.
 
  • Gefällt mir
Reaktionen: Raijin
0x8100 schrieb:
ist der host kompromitiert, dann sind es auch die VMs - egal welches os diese haben. dualboot wäre sicherer, wenn das zweite os verschlüsselt ist. ansonsten könnte die malware direkt auf dessen dateisystem zugreifen. idealerweise würdest du ein live-system benutzen.

Das stimmt erst mal sooooooo gar nicht.
Das Gastsystem ist erst mal abgekoppelt und sofern nicht richtig richtig harte Technik im Einsatz ist ist die VM erst mal gar NICHTS!
Der Trojaner / Virus und Co. müsste so gemacht sein, dass er es irgendwie schafft auch das Gastsystem zu befallen und das ist erst mal gar nicht so einfach und je nach Einstellung auch nicht ohne weiteres möglich.
Dafür müsste man zumindest erst mal den Dateiaustausch zwischen Host und Gast ermöglichen, was noch nicht mal bedeutet, dass dort auch die Datei / Anwendung oder was auch immer ausgeführt wird. Hier wäre ein Fehler in der Virtuellen Maschine notwendig und da wird es dann schon sehr sehr viel schwerer.

All diese notwendigen Techniken verschwendet keiner für sowas...
Genauso ist es schwer aus dem Gastsystem auszubrechen, sogar noch schwerer als andersrum.
Ihr solltet nicht zu viele schlechte Hackersachen im Fernsehen sehen....
 
  • Gefällt mir
Reaktionen: ArcherV
kleine Anmerkung: VMware kann in der Workstation (nicht Player) Variante die VM härten und Sachen wie Dateitransfers unterbinden. Heißt dann logischerweise auch keine gemeinsame Zwischensblage.
 
BrainLagg schrieb:
Wenn du den Keylogger auf deinem Host hast bringt dir die VM auch nicht ganz so viel, du gibst ja trotzdem die Zugangsdaten über deine Tastatur ein..
Mit nur deinem Login kommt ein Angreifer aber erstmal nicht weit, es haben ja nicht grundlos die meisten Banken und Sparkassen auf 2FA umgestellt.

Auf einem infiziertem Host kann eine entsprechend programmierte Software mit deinem 2FA Code eine komplett andere Überweisung machen während er dir die gewünschte Überweisung anzeigt. Wenn der Host infiziert ist aber man die Überweisung in einer VM läuft fehlt da der Zugriff um die Darstellung zu manipulieren.
(Ja, der verwendete 2FA Dongel sollte nochmal Überweisungsdaten zur Kontrolle anzeigen. Ob das aber wirklich jeder prüft...)

0x8100 schrieb:
ist der host kompromitiert, dann sind es auch die VMs - egal welches os diese haben.
Nö, so eine überspringende Infektion ist ein ordentlicher Brocken zusätzlicher Code der funktionieren muss.

Insbesondere, wenn die VM auf einem anderen Host läuft als der PC, von dem man auf die VM zugreift.
 
  • Gefällt mir
Reaktionen: BrainLagg
Suzanna schrieb:
funktioniert das Ganze nur wenn ich ein zweites Windows/Linux als Dualboot nebendran nutze und nicht als VM?
Es funktioniert nicht. Wenn der Host kompromittiert ist (wenn Du das nicht feststellen kannst) nutzt auch eine VM nichts, Deine Eingabedaten und Dein Bildschirminhalt können übertragen werden. Wenn Du ein "zweites System" hast und das auch kompromittiert ist, nützt das natürlich auch nichts. Was nicht klappt, ist eine "Echtzeitmanipulation" Deiner Eingaben, wie soll das auch gehen. Hier kannst Da mal schauen, was ein kompromittiertes System alles so "übertragen" kann:
https://www.actualkeylogger.com/buynow
 
Es kommt wie so oft auf die Details an. Eine VM ist nicht per Definition sicher. Malware, die sich aktiv in einem Netzwerk verbreiten kann, kommt über das Host-VM-Netz auch in die VM rein. Nicht ohne Grund gibt es bei VMs ja verschiedene Betriebsmodi was das Netzwerk angeht, bis hin zu "kein Netzwerk" womit effektiv nur noch der Keylogger auf dem Host irgendwas aufschnappen könnte oder die Malware gnaz spezifische Angriffsvektoren für zB VMWare kennen muss. Logischerweise kann die VM dann aber auch kein Online-Banking machen ;)

Wie auch immer, ein infizierter Host ist in jedem Fall schlecht, egal ob dadurch auch die VMs kompromittiert sind oder nicht. Tendenziell werden VMs ja gerade dazu genutzt, den Host clean zu halten und nicht andersherum. Beispielsweise durch "read-only" VMs, die bei jedem Start mit einem sauberen Snapshot geladen werden.
 
Rickmer schrieb:
Nö, so eine überspringende Infektion ist ein ordentlicher Brocken zusätzlicher Code der funktionieren muss.
GrinderFX schrieb:
Das stimmt erst mal sooooooo gar nicht.
Das Gastsystem ist erst mal abgekoppelt und sofern nicht richtig richtig harte Technik im Einsatz ist ist die VM erst mal gar NICHTS!
malware, die sich nur übers netzwerk verbreitet, kann natürlich nicht auf eine vm zugreifen, die keine netzwerkverbindung zum host hat.

ABER: die vm ist auf dem host erstmal ein laufender prozess wie alle anderen auch. malware auf dem host kann einfach auf den ram zugreifen, der für die vm verwendet wird, und dort den inhalt manipulieren oder nach keys suchen.

ist der host kompromitiert, muss man davon ausgehen, dass es auch die gäste sind. alles andere ist fahrlässig.
 
  • Gefällt mir
Reaktionen: Raijin
Da kann man sicherlich ne VM mieten, dann hat man weniger stress ;)
 
Dank euch für eure Meinungen! Werde mal versuchen Linux parallel zu installieren mit Festplattenverschlüsselung :freak:
 
GrinderFX schrieb:
Ihr solltet nicht zu viele schlechte Hackersachen im Fernsehen sehen....
Muss man dazu gar nicht. Denn es ist ja allgemein bekannt, dass von einem kompromittierten System aus, in diesem Fall angenommener Weise dem Host, u.a. auch Auswirkungen auf's Netzwerk resultieren können. Und wenn die Verbindung ins Web dann von der VM aus über den gleichen Router läuft, ist das halt ebenfalls problematisch.

Es hilft alles nichts: Wenn man finanzrelevante Dinge abwickeln möchte, müssen alle Systeme und das Netzwerk (Netzwerkhardware, Firmware und Konfiguration), in dem sich die Systeme befinden, gut abgesichert sein.
 
Suzanna schrieb:
Dank euch für eure Meinungen! Werde mal versuchen Linux parallel zu installieren mit Festplattenverschlüsselung :freak:

Festplattenverschlüsselung wäre on Top natürlich ok, aber vom Grundsatz her, kommt man von Windows aus auch auf keine Linux (zB. EXT4) Partition drauf.

Alternativ kannst du auch ein Linux auf einem USB Stick installieren, und dann das OS immer nur dann vom USB Stick per Tastenkombi beim Hochfahren starten. Und wenn der Stick nicht permanent dran steckt, läufst du da auch nicht Gefahr, dass da irgendwas kompromittiert wird.
 
Zuletzt bearbeitet:
Aber selbst wenn Windows via WSL nicht ext4 direkt lesen/schreiben könnte wäre ja keine echte Trennung da. Solange das auch nur irgendwie im Zugriff ist, kann auch Malware darauf zugreifen. Also entweder direkt oder halt in dem die Malware ihren eigenen ext4-FUSE-"Treiber" mitbringt.
Das war also noch nie ein echter Schutz.
 
  • Gefällt mir
Reaktionen: Cool Master
Zurück
Oben