Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: CXLI Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 05 сентября 2024 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Калинин В.К., Иванова Т.М., Постников А.К. КОПИРОВАНИЕ СОДЕРЖИМОГО ОЗУ ВИРТУАЛЬНОЙ МАШИНЫ КАК СПОСОБ НАРУШЕНИЯ БЕЗОПАСНОСТИ ВИРТУАЛЬНОЙ СИСТЕМЫ // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. CXLI междунар. студ. науч.-практ. конф. № 9(139). URL: https://sibac.info/archive/technic/9(139).pdf (дата обращения: 22.11.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

КОПИРОВАНИЕ СОДЕРЖИМОГО ОЗУ ВИРТУАЛЬНОЙ МАШИНЫ КАК СПОСОБ НАРУШЕНИЯ БЕЗОПАСНОСТИ ВИРТУАЛЬНОЙ СИСТЕМЫ

Калинин Виталий Константинович

студент, кафедра геологии и нефтегазового дела, Сахалинский государственный университет,

РФ, г. Южно-Сахалинск

Иванова Татьяна Максимовна

студент, кафедра геологии и нефтегазового дела, Сахалинский государственный университет,

РФ, г. Южно-Сахалинск

Постников Артем Климентьевич

студент, кафедра геологии и нефтегазового дела, Сахалинский государственный университет,

РФ, г. Южно-Сахалинск

COPYING THE CONTENTS OF THE RAM OF A VIRTUAL MACHINE AS A WAY TO VIOLATE THE SECURITY OF A VIRTUAL SYSTEM

 

Vitalii Kalinin

student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Tatyana Ivanova

student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Artem Postnikov

student, Department of Geology and Oil and Gas business, Sakhalin state University, Russia, Yuzhno-Sakhalinsk

 

АННОТАЦИЯ

С развитием технологий виртуализации стало гораздо проще разделять физическое устройство для исполнения разнородных задач, или же для разделения вычислительной системы между несколькими пользователями (если мы говорим, о таком явлении как VPS – Virtual Private Server). Однако, вместе с этим особую важность получил и вопрос обеспечения безопасности виртуальных машин, не только от друг друга (ведь такого рода защиту обеспечивают любые коммерчески используемые гипервизоры – те же Hyper-V или ESXI), но и от действий с аппаратной частью. Поэтому в данной статье анализируется метод нарушения безопасности виртуальных систем путем копирования содержимого ОЗУ, при наличии аппаратного доступа к хостинг системе в целях предотвращения подобных инциндентов.

ABSTRACT

With the development of virtualization technologies, it has become much easier to separate a physical device to perform heterogeneous tasks, or to divide a computing system between several users (if we are talking about such a phenomenon as a VPS – Virtual Private Server). However, at the same time, the issue of ensuring the security of virtual machines has become particularly important, not only from each other (after all, this kind of protection is provided by any commercially used hypervisors – the same Hyper-V or ESXI), but also from actions with the hardware. Therefore, this article analyzes the method of violating the security of virtual systems by copying the contents of RAM, if there is hardware access to the hosting system in order to prevent such incidents.

 

Ключевые слова: виртуализация, информационная безопасность, копирование ОЗУ.

Keywords: virtualization, cybersecurity, RAM copying.

 

Для анализа метода копирования содержимого ОЗУ виртуальной машины будет подробно разобран подход с использованием гипервизора VirtualBox разработки Oracle версии 7.0.18 и операционной системы (далее - ОС) Ubuntu Desktop разработки Canonical версии 24.04 LTS. Аналогичны действия производимы и с другими программными решениям и иными ОС.

Для, этого была создана виртуальная машина с названием “UBUNTU-TEST” со следующими основными параметрами виртуализации:

  • объем виртуального ОЗУ – 4 ГБ;
  • количество доступных ядер процессора – 4;
  • интернет-соединение – отсутствовало.

При установке системы, Ubuntu Desktop предлагает создать нового пользователя (рис. 1). В качестве пароля был использован “pass_for_user”. Для упрощения возможности последующего анализа слепка виртуального ОЗУ и выявления факта наличия пароля создаваемого пользователя в таковом слепке.

 

Рисунок 1. Окно создания нового пользователя при установке операционной системы Ubuntu Desktop

 

Кроме того, для выявления в ходе анализа проблемы возможности извлечения пароля файловой системы, зашифрованной при помощи встроенной утилиты LUKS, во время установки был указан и пароль для таковой “luks@pass689” (рис. 2) [1].

 

Рисунок 2. Создание зашифрованного раздела LUKS

 

В последствии, используя встроенную в пакет VirtualBox утилиту VBoxManage, был создан слепок ОЗУ виртуальной машины “UBUNTU-TEST” при помощи следующей команды: «VBoxManage debugvm "UBUNTU-TEST" dumpvmcore --filename "c:\Users\anon\Desktop\RAM-UB.elf"», сохраняющей его на рабочий стол пользователя хост устройства [2, 4].

Для анализа полученного слепка ОЗУ применялся специализированный программный продукт FTK Imager разработки AccessData версии 3.1.2.0.

Поиском по ключевым слова (вводим при установки ОС данным) удалось установить наличие парольных фраз в слепке ОЗУ, сделанным сразу после ввода всех необходимых для продолжения установки ОС данных. Парольные фразы были доступы как для созданного пользователя, так и для созданной файловой системы LUKS (рис. 3 и рис. 4 соответственно).

 

Рисунок 3. Обнаруженный пароль пользователя в слепке ОЗУ виртуальной машины

 

Рисунок 4. Обнаруженный пароль LUKS в слепке ОЗУ виртуальной машины

 

Кроме того, были обнаружены и хранящиеся символы, введенные пользователем с клавиатуры, что позволяет сделать выводы о том, что даже мгновение хеширование и/или любой другой программный способ защиты данных в оперативной памяти не является эффективным при использовании виртуализации [3].

В результате проведенного анализа можно сделать следующие выводы. Во-первых, метод создания слепка (копирования) содержимого ОЗУ позволяет получать доступ к критической информации, включая парольные фразы и нажатия клавиш, что может быть причиной нарушения безопасности виртуальных систем в особенности с распространением использования услуг VPS провайдеров.

 

Список литературы:

  1. Bossi, S. What users should know about Full Disk Encryption based on LUKS / S. Bossi, R. Visconti // Proceedings of the 14th International Conference on Cryptology and Network Security . – Milano : Universit`a degli Studi di Milano, 2015. – P. 1-16.
  2. Breaking Luks encryption from a Memory Dump // Unix & Linux StackExchange: сайт. – URL: https://unix.stackexchange.com/questions/664454/breaking-luks-encryption-from-a-memory-dump (дата обращения: 29.08.2024)
  3. Dump Virtual Box Memory // Red Team Notes : сайт. – URL: https://www.ired.team/miscellaneous-reversing-forensics/dump-virtual-box-memory (дата обращения: 29.08.2024)
  4. Get a memory dump of a virtual machine from its hypervisor // Kaspersky Support : сайт. – URL: https://forum.kaspersky.com/topic/how-to-get-a-memory-dump-of-a-virtual-machine-from-its-hypervisor-36407/ (дата обращения: 29.08.2024)
Удалить статью(вывести сообщение вместо статьи): 
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.