虛擬化安全分析

1、Xen基礎(chǔ)架構(gòu)安全性分析Xen虛擬化介紹Xen 是一個基于Hypervisor 和虛擬化的開源虛擬機(jī)監(jiān)視器，由劍橋大學(xué)的lan Pratt 教授領(lǐng)導(dǎo)發(fā)起Xen Hypervisor，運(yùn)行在硬件層之上的“元”操作系統(tǒng)，用于協(xié)調(diào)硬件資源（CPU、內(nèi)存）、各虛擬機(jī)之間進(jìn)行環(huán)境隔離；Domain 0，一個運(yùn)行上Hyerpvisro上修改過Linux Kernel的獨(dú)特虛擬機(jī)，控制硬件IO資源，與Domain U交互。Domain U 運(yùn)行在Hypervisor上的虛擬機(jī)，分為PV和HVMHardwareHypervisorDomain0Domain U HVMDomain U PVNetwork ba

2、ckend DriverBlock Backend DriverXen virtual firmwareNetwork DriverBlock DriverQemu-dmXen安全HardwareHypervisorDomain0GuestOSDomain UGuestOSDomain UHost xx溢出到Hypervisor,造成DOS溢出到Domain0,擁有管理員權(quán)限，可以攻擊本機(jī)其他虛擬機(jī)或者攻擊其他主機(jī)嗅探同一主機(jī)的其他虛擬機(jī)主機(jī)內(nèi)的虛擬機(jī)間的攻擊當(dāng)Ghost OS被發(fā)現(xiàn)時，流量從一個虛擬機(jī)到另外一個虛擬機(jī)，不經(jīng)過物理網(wǎng)卡，而是直接在Hypervisor的網(wǎng)橋轉(zhuǎn)發(fā)，檢測變的非常因驗(yàn)

3、基于Xen架構(gòu)的另一種情況：當(dāng)虛擬機(jī)共享或者重新分配硬件資源時會造成很多的安全風(fēng)險(xiǎn)。信息可能會在虛擬機(jī)之間被泄露。例如，如果虛擬機(jī)占用了額外的內(nèi)存，然而在釋放的時候沒有重置這些區(qū)域，分配在這塊內(nèi)存上的新的虛擬機(jī)就可以讀取到敏感信息。HypervisorCPUMemoryNICGhost OSGhostOSGhostOSDom0偽物理地址到機(jī)器地址映射表對Hypervisor 的攻擊對Hypervisor的攻擊主要來自于DOS攻擊(CVE20122625)。從Ghost OS上直接造成Hypervisor崩潰，使這臺主機(jī)上的所有虛擬機(jī)都停止運(yùn)行API接口為攻擊者提供了更多的攻擊路徑以及更大的攻擊

4、平面。（典型的API包括了libvirt API，以及由硬件以及帶有hypervisor能夠處理的參數(shù)的處理器指令所產(chǎn)生的中斷）(CVE20111898)。HypervisorCPUMemoryNICGhost OSGhostOSGhostOSDom0DOS攻擊對攻擊對Xen所承載的業(yè)務(wù)系統(tǒng)的脆弱性提出了所承載的業(yè)務(wù)系統(tǒng)的脆弱性提出了嚴(yán)重挑戰(zhàn)嚴(yán)重挑戰(zhàn)APIDOSXen的公開漏洞（1）CVE-2012-2625 漏洞發(fā)布時間:2012-05-22 影響系統(tǒng) :Xen 4.x 危害: 本地攻擊者可以利用漏洞可使系統(tǒng)崩潰。 攻擊所需條件: 攻擊者必須構(gòu)建惡意內(nèi)核映像，誘使程序解析。 漏洞信息當(dāng)解壓縮

5、內(nèi)核時PyGrub存在一個錯誤，通過超大的內(nèi)核映像，誘使應(yīng)用程序解析，Guest虛擬機(jī)中的本地用戶可導(dǎo)致Hypervisor層崩潰。 Xen的公開漏洞（2） CVE-2011-1898 Description Xen 4.1 & 4.0, when using PCI passthrough on Intel VT-d chipsets that do not have interrupt remapping, allows guest OS users to gain host OS privileges by using DMA to generate MSI interrupts

6、 by writing to the interrupt injection registers.Xen未對DMA傳輸做限制。 因此具備DMA能力的設(shè)備可以覆蓋和寫入到系統(tǒng)的任意內(nèi)存地址，即便是Xen的內(nèi)存空間。 Xen的其它公開漏洞（DOS） 公開的CVE漏洞，造成Hypervisor拒絕服務(wù) CVE-2010-4255 XEN 4.0.1和早期的64bit版本，允許guest OS通過構(gòu)造的特殊內(nèi)存訪問導(dǎo)致DOS CVE-2010-4247 XEN 3.4.0之前版本，通過無限循環(huán)和消耗CPU的操作，可能允許guest OS造成DOS CVE-2010-3699 XEN 3.x的后端驅(qū)動允

7、許guest OS把自己掛起造成DOS對Domain0的攻擊 通常提供云計(jì)算資源的主機(jī)需要用防火墻限制從外部來的訪問，因此對Domain0的攻擊更多的是從內(nèi)部發(fā)起的。 Domain0權(quán)限的淪陷，會危及這臺主機(jī)上的虛擬機(jī)的安全HypervisorCPUMemoryNICOSOSOSDom0對Hypervisor逃逸攻擊 最新版本中上未發(fā)現(xiàn)有公開的虛擬機(jī)逃逸漏洞，但不意味著將來不會有，無法預(yù)測。一旦出現(xiàn)這種漏洞，危害是巨大的，攻擊者可以直接進(jìn)入主機(jī)系統(tǒng)，進(jìn)而入侵內(nèi)部網(wǎng)絡(luò)，威脅整個云的安全HypervisorCPUMemoryNICOSOSOSDom0對虛擬機(jī)逃逸的防范 我們無法從技術(shù)上杜絕這種攻擊，因此我們需要對這種攻擊做出防范 攻擊監(jiān)控和報(bào)警 物理主機(jī)隔離 Guest OS隔離 虛擬機(jī)快照，捕捉攻擊現(xiàn)場虛擬機(jī)熱遷移的安全 虛擬機(jī)熱遷移時數(shù)據(jù)在網(wǎng)絡(luò)間明文傳輸 虛擬機(jī)內(nèi)存中的信息會被嗅探 內(nèi)存數(shù)據(jù)傳輸時存在中間人攻擊的可能，系統(tǒng)或數(shù)據(jù)會被篡改使用XenMotion協(xié)議帶來的問題更玄的方式？ 隱蔽通道 同一hypervisor上的虛擬機(jī)可以通過CPU的負(fù)載傳輸隱蔽信息，這種通信是無法被監(jiān)控的，但對于企業(yè)威脅性僅存在