如何通过三个简单步骤窃取虚拟机

上周，Spiceworks 中的一个帖子讨论了一个流氓系统管理员，他回来困扰这家公司。我通读了不同的线索，其中一个特别引起了我的注意：“你们这些人听起来就像一群警察。你不相信任何人吗？为了信任别人，你自己必须值得信任。”

我几乎回帖说我希望我能那么天真。我希望我能生活在那个世界，而不是我是一个悲观主义者。我是一个有经验的乐观主义者。我的经验告诉我，唯一可能的答案是“我信任每个人……” 。 。但仅限于某一点。”

那么我们来谈谈信任如何成为 IT 安全游戏中的一个大问题。首先，我们经常听到一些公司被黑客渗透，信用卡号等信息被盗。老实说，这是一件很严肃的事情，它让人感到害怕。恐惧会卖报纸！我们没有听说的是因为没有渗透到任何网站而发生的数以千计的小黑客攻击。他们不必这样做。他们已经在里面了。

从前，我在一家公司工作。 他们开发软件，而且非常擅长软件。我加入的主要目的是让他们的 VMware 环境启动并运行。他们正在为各种不同的电力公司使用他们的产品并对其进行调整。他们过去所做的是，当开发人员使用该实用程序来帮助调整软件等时，他们会带上一台笔记本电脑，在某些情况下，还会带上多达十几个不同的硬盘。硬盘驱动器有一个操作系统、所有工具以及适用于该环境的软件。当他们到达该实用程序时，他们会从笔记本电脑中取出硬盘，插入标有该公司的硬盘，然后继续工作。理论上的好主意，执行起来却很糟糕。驱动器丢失、损坏，有时甚至被盗。事实上，当我拿回所有驱动器时，有些驱动器与软件无关，而是充满了音乐、电影等。

因此，VMware 登场了。 现在的想法是，我们构建他们的开发环境，将他们发送到实用程序，然后他们所要做的就是访问他们的工作，以便通过 VPN 进行调整和测试。这也是个好主意，但每隔一段时间，我们就不得不用硬盘将它们发送出去。在这种情况下，我们只是将 VMplayer 扔到他们的笔记本电脑上，然后我使用 VM Converter 将 VM 复制过来。这样他们就可以完成工作而不必担心 VPN 连接。我控制了硬盘，它们成为收据项目，当开发人员离开时，我将其与他们需要的虚拟机一起发给他们。当他们回来时，我坐在那儿等他们。

输入唐尼（这不是他的真名）！现在他是一位才华横溢的开发人员，一个非常有魅力的人，也是那些生来就应该被贴上警告标签的人之一。他最大的天赋就是成为一个好人，并且他可以充分发挥自己的魅力。他可以把最离谱、最荒谬的想法说得听起来合理。

所以他看到我交出了并控制了虚拟机，然后他向我提出了一个想法。 “嘿，里奇。我知道你是一个非常忙碌的人，”他称赞了我足足五分钟后继续说道：“你为什么不允许我分发驱动器和克隆虚拟机等等...... 。 ”。

我有没有碰巧提到过，当他还穿着尿布的时候，我是一名警察，担任政治职务，而且我开发了一个非常精细的胡言乱语测量仪！ 它正在消失，有一个小声音警告我不要相信他，只要我能把他扔得那么远。

“谢谢你，但是不行，”我说。

“但 。 。 ”。

“NO哪一部分你没听懂？”我问。

他有点生气地走了。

他没有回来，我想他已经明白了。

如果您运行虚拟化环境，您应该做的一件事就是像鹰一样监视它。你需要知道它是如何执行的，并且你总是需要知道其中发生了什么，它是如何执行的。 因此，我总是虚拟地浏览我的环境并检查一些情况。有一天，我在检查时注意到几台有快照的机器。你说这没什么大不了的？嗯，快照是一个值得隐瞒的问题，在某些情况下它们是预期的。

这是它的工作原理。在VMware的世界里，所谓的虚拟机硬盘实际上只不过是一个名为VMDK文件的文件（是的，你可以拥有一大堆VMDK文件）。许多备份软件通过拍摄快照来工作。这会使 VMDK 进入我们称为静止的状态。这意味着它会变得安静，并且 VMDK 文件不会发生任何更改（例如上传的文件）。备份结束时，软件将快照合并到VMDK文件中，快照不再存在。

但我却在这里，看着一张不该出现的快照。

好吧，我想。有几种可能性。第一，备份软件出了问题并且无法自行清理。顺便说一句，如果备份软件随机出现故障，您可能需要确保它将快照合并回来。可能性二。 我拍了一张快照，然后就忘记了这一切。我不记得拍过快照，但我已经五十多岁了，你知道，头脑是最先消失的。 。 。

还有第三种可能性，但我对密码等保持了非常严格的控制。为了好玩，我检查了日志中的快照，找到了创建快照的位置，然后想，嗯，也许我确实做了一些愚蠢的事情。

所以我清理了快照，然后继续。

一周后，又出现了一张快照，我就走了！我深入挖掘，这次我意识到发生了意想不到的事情。我去找老板，问他是否拍了快照。当然不是。你把root密码给出来了吗？当然不是。

我去更改了密码，并考虑了下一步行动。显然我遇到了黑客。不知何故，密码已经被泄露，所以这次我创建了一个新密码，并将 root 帐户的密码设置得非常长且非常复杂。但从我当警察的这些年里我也知道，窃贼喜欢回来摇动那些过去偷窃过的门。

我还需要追踪谁在做这件事。所以我下载并自己制作了一个 SNORT 盒子。对于那些从未使用过 SNORT 的人，让我告诉您，这是最好的入侵检测系统之一。它是免费的，这一事实让它变得更好。

现在，我观察并等待。顺便说一句，我可以做很多事情来真正锁定它，但我想抓住那个家伙。我有点怀疑，我想密码已经以老式的方式被泄露了。有人把它交给了黑客。如果我的猜测是正确的，他们会再次这样做。

一周后，我得到的不是一张快照，而是两张快照。现在我去打猎了。 Snort 吐出当时的连接信息，我跟踪了对一个 IP 地址的成功尝试和不成功尝试。 我查了一下信息，找到了哪个工作站租用了该IP地址，然后去拜访了操作员。 你猜怎么着，这是我的朋友唐尼。

“好吧，”我说，又恢复了以前警察的样子。 “你为什么要做你正在做的事情，唐尼？”

我向他展示了我的证据，他开始说话。 “我想做我告诉你的事，减轻你的压力。 。 ”。

“当然，你已经这样做了，这就是为什么我仍然在分发磁盘驱动器，而你却没有。”我已经对他的机器进行了远程检查，并问道：“虚拟机在哪里？”

“在外部硬盘驱动器上，”一秒钟后他回答道。 “在家里。”

“为什么要回家？”我问。

“我把它们放在服务器上，”他说。 “我会让我的朋友和他们一起玩！”

我感到脸上的血色消失了。软件、数据，所有这些都是专有的东西。现在它已经在网上了！ “给我看看！”

他打开 Firefox，输入一个地址，接下来我看到的是一个网页，其中显示了一个带有 vSphere 客户端的 XP Box 和列出的一些计算机。他甚至懒得把它锁好，任何人和每个人都可以访问它。

我点了头。我最可怕的噩梦正在我的眼前和耳朵中展开。 “你是如何获得虚拟机的？”我问。

他看上去有些不舒服，然后解释道。 “我通过 vSphere 客户端登录并制作了快照。然后我就可以将 VMX 和 VMDK 文件复制到我的外部硬盘驱动器上。我把它们带回家并在 VMPlayer 中打开它们！”

“所以我们进行这次谈话是因为你忘了自己清理干净。”是时候问我已经知道答案的问题了。 “你从哪里得到密码的？”我问。 “我让他们不要告诉你，因为你拒绝了。”他环顾四周，叹了口气。 “我告诉他们我想做什么，他们认为这是有道理的，然后就给了我。”

“‘他们’是谁？”

“公司总裁，也是你的老板！”

这时我已经拍了拍头，摇摇头，吼道：“跟我来！”

我们走进总统办公室，告诉他我的发现以及他的专有软件现在如何在互联网上供世界上任何人窃取。

后来我才知道了整个故事。他完成了令人眼花缭乱的表演，天哪，这舞蹈没有意义，但他们吞下了它。 “我们信任他，”公司总裁感叹道。

不用说，他在那里工作的时间已经不多了。在警察的牵引下，我们获得了他的网络服务器和外部硬盘驱动器，他没有入狱的事实仅仅是因为这次安全事件对许多人来说太尴尬了。

此后事情稍微平静了一些。至于 Donnie，我还没有看到任何证据表明他已经从事 IT 行业了。据我所知，他在某个地方卖二手车，从此过上了幸福的生活。