elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Máquina aislada Virtualbox
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Máquina aislada Virtualbox  (Leído 4,184 veces)
Geralt_de_Rivia

Desconectado Desconectado

Mensajes: 66


Ver Perfil
Máquina aislada Virtualbox
« en: 16 Marzo 2024, 13:53 pm »

Buenas tardes, estoy buscando la mejor opción para crear una máquina lo más aislada posible.
Necesitaría tuviera salida a red, por lo que desactivar la tarjeta de red no lo veo una opción viable.

No tengo pensando descargar ningún malware ni programa raro, pero estoy haciendo pruebas y me gustaría dar con la configuración más efectiva y aislada que sea posible. Aunque soy consciente que siendo una VMs no será posible aislarla al 100%.
Gracias.


En línea

Geralt_de_Rivia

Desconectado Desconectado

Mensajes: 66


Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #1 en: 17 Marzo 2024, 13:14 pm »

¿Alguien puede echarme una mano?


En línea

Manudan85

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #2 en: 17 Marzo 2024, 18:57 pm »

Quitas la red de virtualbox, insertas un usb wifi y lo pasas a la maquina virtual. Ahora ya tienes el adaptador de red wifi en la maquina virtual, instalas drivers si es necesario y te conectas por wifi a tu red directamente.
De nada
En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #3 en: 17 Marzo 2024, 19:30 pm »

A falta de que puedas recibir ayuda por parte de usuarios con experiencia profesional en cuestiones avanzadas de seguridad (ya que quiero dejar claro que mi experiencia es personal, yo no trabajo profesionalmente en ámbitos de seguridad), y habiendo dejado claro que no ves factible desactivar la tarjeta de red, te lanzo unas cuantas sugerencias para incrementar la eficacia de aislamiento, empezando por instalar el siguiente software gratuito (freeware y freemium respectivamente):

Cloudflare WARP (VPN):
 - https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/
Cita de: ChatGPT
WARP cifra todo el tráfico de Internet, lo que ayuda a proteger la privacidad de los usuarios y evita la interceptación de datos por parte de terceros, como hackers o proveedores de servicios de Internet.

Además de cifrar el tráfico de Internet, WARP también incluye protección contra amenazas en línea, como malware, phishing y ataques de suplantación de identidad.

Sandboxie Plus:
 - https://sandboxie-plus.com/downloads/
Cita de: ChatGPT
Sandboxie Plus crea un entorno virtual en el que se pueden ejecutar programas de forma aislada del sistema operativo principal. Esto significa que cualquier acción realizada dentro de Sandboxie Plus, como la instalación de programas o la descarga de archivos, no afectará al sistema principal.

Al ejecutar programas dentro de Sandboxie Plus, cualquier malware o amenaza potencial que se encuentre en esos programas se mantendrá dentro del entorno virtual y no podrá afectar al sistema operativo principal. Esto proporciona una capa adicional de seguridad para el sistema.

Y, adicionalmente, podrías instalar un antivirus dedicado o utilizar el que viene integrado con Windows, en modo de escaneo en tiempo real.



En torno a la conectividad de red y, en caso de que no necesites mantener la conectividad activa durante todo el tiempo que dure la sesión de la VM, entonces podrías utilizar un script (mediante un archivo de acceso directo "*.lnk" para hacer la tarea más fácil) para deshabilitar los servicios de Windows de red y/o desactivar los adaptadores de red cuando no te sea realmente necesario mantener activa la conectividad.

Puedes usar, por ejemplo, estos scripts VBS para deshabilitar y rehabilitar los dispositivos de red en la VM:

Disable_Network_Adapters.vbs
Código
  1. Set objShell = CreateObject("WScript.Shell")
  2. Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"
  3. Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48)
  4. For Each objItem in colItems
  5.    If objItem.NetConnectionStatus = 2 Then
  6.        strInterfaceName = objItem.NetConnectionID
  7.        objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=disable", 0, True
  8.    End If
  9. Next

Enable_Network_Adapters.vbs
Código
  1. Set objShell = CreateObject("WScript.Shell")
  2. Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
  3. Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48)
  4. For Each objItem in colItems
  5.    If objItem.NetConnectionStatus = 0 Then
  6.        strInterfaceName = objItem.NetConnectionID
  7.        objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=enable", 0, True
  8.    End If
  9. Next

También puedes utilizar programas gratuitos como Net Disabler, que residen en forma de icono en la bandeja del sistema (system tray) y sirven como atajo para llevar a cabo esa tarea de forma especializada:

 - https://www.sordum.org/9660/net-disabler-v1-1/

Cita de: sordum.org
Technically, you can control internet by running netsh interface command in command prompt window to enable and disable the network connection that has the internet access. But This method can be easily circumvented and does not offer a guarantee. If you want to disable Internet connectivity for some time or on some events, you can easily do it with Net Disabler it is a small portable Freeware tool, you can use it to quickly turn the Internet off or on again.

3. Disconnecting from the internet can limit the impact of the malware it is a security technique known as an “air gap”. By separating the computer from any network makes it more secure.



Por último, y en caso de que tengas carpetas compartidas en la VM que apunten vulnerablemente a tu sistema operativo huésped (host), podrías utilizar un script (de nuevo mediante un archivo de acceso directo "*.lnk") para montar/desmontar la unidad virtual en la VM cuando no te sea realmente necesario mantener acceso a tu sistema operativo mediante esas carpetas compartidas, ya que son visibles para un malware.

Puedes usar, por ejemplo, estos scripts VBS para desconectar y reconectar la unidad de red en la VM:

Disconnect_Network_Drive.vbs
Código
  1. Set objNetwork = CreateObject("WScript.Network")
  2. objNetwork.RemoveNetworkDrive "Z:", True, True

Reconnect_Network_Drive.vbs
Código
  1. Set objNetwork = CreateObject("WScript.Network")
  2. objNetwork.MapNetworkDrive "Z:", "\\vmware-host\Shared Folders"

Nota: Estos scripts requieren ser modificados, ya que logicamente la letra de unidad y la ruta UNC cambiarán dependiendo de tu configuración y si estás usando VMWare u otro software de virtualización.

EDITO: Una adaptación para hallar y desmontar todas las unidades de red:

Disconnect_All_Network_Drives.vbs
Código
  1. Option Explicit
  2.  
  3. Dim objNetwork, objShell, unmountedDrives
  4. Dim colDrives, i, drive, path, msg
  5.  
  6. Set unmountedDrives = CreateObject("System.Collections.ArrayList")
  7.  
  8. Set objNetwork = CreateObject("WScript.Network")
  9. Set colDrives = objNetwork.EnumNetworkDrives
  10. For i = 0 to colDrives.Count - 1 Step 2
  11.    drive = colDrives.Item(i)
  12.    path  = colDrives.Item(i+1)
  13.    objNetwork.RemoveNetworkDrive drive, True, True
  14.    unmountedDrives.Add drive & vbTab & """" & path & """"
  15. Next
  16.  
  17. Set objShell = CreateObject("WScript.Shell")
  18. If unmountedDrives.Count = 0 Then
  19.    msg = "No active network drives were found."
  20.    objShell.Popup msg, 0, "Warning: Network Drives", 48
  21.  
  22. Else
  23.    msg = "The following network drives were unmounted:" & vbCrLf & vbCrLf
  24.    For Each drive In unmountedDrives
  25.        msg = msg & drive & vbCrLf & vbCrLf
  26.    Next
  27.    objShell.Popup msg, 0, "Info: Network Drives", 64
  28.    unmountedDrives.Clear()
  29. End If

« Última modificación: 17 Marzo 2024, 20:24 pm por Eleкtro » En línea



Geralt_de_Rivia

Desconectado Desconectado

Mensajes: 66


Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #4 en: 17 Marzo 2024, 22:23 pm »

A falta de que puedas recibir ayuda por parte de usuarios con experiencia profesional en cuestiones avanzadas de seguridad (ya que quiero dejar claro que mi experiencia es personal, yo no trabajo profesionalmente en ámbitos de seguridad), y habiendo dejado claro que no ves factible desactivar la tarjeta de red, te lanzo unas cuantas sugerencias para incrementar la eficacia de aislamiento, empezando por instalar el siguiente software gratuito (freeware y freemium respectivamente):

Cloudflare WARP (VPN):
 - https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/
Sandboxie Plus:
 - https://sandboxie-plus.com/downloads/
Y, adicionalmente, podrías instalar un antivirus dedicado o utilizar el que viene integrado con Windows, en modo de escaneo en tiempo real.



En torno a la conectividad de red y, en caso de que no necesites mantener la conectividad activa durante todo el tiempo que dure la sesión de la VM, entonces podrías utilizar un script (mediante un archivo de acceso directo "*.lnk" para hacer la tarea más fácil) para deshabilitar los servicios de Windows de red y/o desactivar los adaptadores de red cuando no te sea realmente necesario mantener activa la conectividad.

Puedes usar, por ejemplo, estos scripts VBS para deshabilitar y rehabilitar los dispositivos de red en la VM:

Disable_Network_Adapters.vbs
Código
  1. Set objShell = CreateObject("WScript.Shell")
  2. Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"
  3. Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48)
  4. For Each objItem in colItems
  5.    If objItem.NetConnectionStatus = 2 Then
  6.        strInterfaceName = objItem.NetConnectionID
  7.        objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=disable", 0, True
  8.    End If
  9. Next

Enable_Network_Adapters.vbs
Código
  1. Set objShell = CreateObject("WScript.Shell")
  2. Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
  3. Set colItems = objWMIService.ExecQuery("Select * from Win32_NetworkAdapter",,48)
  4. For Each objItem in colItems
  5.    If objItem.NetConnectionStatus = 0 Then
  6.        strInterfaceName = objItem.NetConnectionID
  7.        objShell.Run "netsh interface set interface """ & strInterfaceName & """ admin=enable", 0, True
  8.    End If
  9. Next

También puedes utilizar programas gratuitos como Net Disabler, que residen en forma de icono en la bandeja del sistema (system tray) y sirven como atajo para llevar a cabo esa tarea de forma especializada:

 - https://www.sordum.org/9660/net-disabler-v1-1/



Por último, y en caso de que tengas carpetas compartidas en la VM que apunten vulnerablemente a tu sistema operativo huésped (host), podrías utilizar un script (de nuevo mediante un archivo de acceso directo "*.lnk") para montar/desmontar la unidad virtual en la VM cuando no te sea realmente necesario mantener acceso a tu sistema operativo mediante esas carpetas compartidas, ya que son visibles para un malware.

Puedes usar, por ejemplo, estos scripts VBS para desconectar y reconectar la unidad de red en la VM:

Disconnect_Network_Drive.vbs
Código
  1. Set objNetwork = CreateObject("WScript.Network")
  2. objNetwork.RemoveNetworkDrive "Z:", True, True

Reconnect_Network_Drive.vbs
Código
  1. Set objNetwork = CreateObject("WScript.Network")
  2. objNetwork.MapNetworkDrive "Z:", "\\vmware-host\Shared Folders"

Nota: Estos scripts requieren ser modificados, ya que logicamente la letra de unidad y la ruta UNC cambiarán dependiendo de tu configuración y si estás usando VMWare u otro software de virtualización.

EDITO: Una adaptación para hallar y desmontar todas las unidades de red:

Disconnect_All_Network_Drives.vbs
Código
  1. Option Explicit
  2.  
  3. Dim objNetwork, objShell, unmountedDrives
  4. Dim colDrives, i, drive, path, msg
  5.  
  6. Set unmountedDrives = CreateObject("System.Collections.ArrayList")
  7.  
  8. Set objNetwork = CreateObject("WScript.Network")
  9. Set colDrives = objNetwork.EnumNetworkDrives
  10. For i = 0 to colDrives.Count - 1 Step 2
  11.    drive = colDrives.Item(i)
  12.    path  = colDrives.Item(i+1)
  13.    objNetwork.RemoveNetworkDrive drive, True, True
  14.    unmountedDrives.Add drive & vbTab & """" & path & """"
  15. Next
  16.  
  17. Set objShell = CreateObject("WScript.Shell")
  18. If unmountedDrives.Count = 0 Then
  19.    msg = "No active network drives were found."
  20.    objShell.Popup msg, 0, "Warning: Network Drives", 48
  21.  
  22. Else
  23.    msg = "The following network drives were unmounted:" & vbCrLf & vbCrLf
  24.    For Each drive In unmountedDrives
  25.        msg = msg & drive & vbCrLf & vbCrLf
  26.    Next
  27.    objShell.Popup msg, 0, "Info: Network Drives", 64
  28.    unmountedDrives.Clear()
  29. End If



Muchísimas gracias por tu respuesta, gran trabajazo.
He estado echándole un vistazo a todo, me ha llamado mucho la atención Sandboxie, aunque por lo que he visto, lo óptimo sería ejecutarlo en una máquina virtual (quizás es eso lo que me querías decir) porque si quieres ejecutar un software en Sanboxie, tienes que instalarlo previamente en el SO anfitrión, al menos es lo que he visto en varios vídeos. Corrígeme si no es así por favor.
Muchas gracias.
En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #5 en: 17 Marzo 2024, 22:42 pm »

me ha llamado mucho la atención Sandboxie, aunque por lo que he visto, lo óptimo sería ejecutarlo en una máquina virtual (quizás es eso lo que me querías decir) porque si quieres ejecutar un software en Sanboxie, tienes que instalarlo previamente en el SO anfitrión, al menos es lo que he visto en varios vídeos. Corrígeme si no es así por favor.

No, no quise decir eso.

Te corrijo (dentro de mis capacidades y limitaciones): Sandboxie Plus crea un espacio virtual, seguro y aislado (una sandbox) en el que se controla y se limita la ejecución del archivo executable que quieras testear. Se puede impedir el acceso a dispositivos de red / Internet, y limitar que el archivo interactue con otras cosas, como con ciertas librerias (DLL) del sistema. En fin, se puede evitar que un malware actúe de forma eficiente al ejecutarlo de forma controlada y limitada.

La cuestión más importante y relevante es que, los cambios que el archivo executable (dentro de la sandbox) realice en el disco o en el registro de Windows, serán cambios virtuales. O al menos esa es la premisa de utilizar una sandbox. xD

Perfectamente puedes ejecutar el instalador de un programa en SandBoxie Plus; los trazos del programa instalado quedarán expuestos en la ruta "C:\Program Files\Sandbox" (a menos que cambies la ruta en la configuración de la sandbox).

Así que lo que quise decir, o la idea que quise transmitirte, es que utilizar una máquina virtual (Sandboxie Plus) dentro de otra máquina virtual (Virtual Box, VMWare, etc) se podría considerar una doble capa de aislamiento, con el objetivo de minimizar el riesgo de que un software malicioso que se ejecute en la VM pueda afectar al sistema operativo invitado, y de ahí pueda infectar al sistema huésped o anfitrión.

Aténtamente,
Elektro.
« Última modificación: 17 Marzo 2024, 22:48 pm por Eleкtro » En línea



Geralt_de_Rivia

Desconectado Desconectado

Mensajes: 66


Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #6 en: 17 Marzo 2024, 22:49 pm »

No, no quise decir eso.

Te corrijo (dentro de mis capacidades y limitaciones): Sandboxie Plus crea un espacio virtual, seguro y aislado (una sandbox) en el que se controla y se limita la ejecución del archivo executable que quieras testear. Se puede impedir el acceso a dispositivos de red / Internet, y limitar que el archivo interactue con otras cosas, como con ciertas librerias (DLL) del sistema. En fin, se puede evitar que un malware actue de forma eficiente al ejecutarlo de forma controlada y limitada.

La cuestión más improtante y relevante es que, los cambios que el archivo executable (dentro de la sandbox) realice en el disco o en el registro de Windows, serán cambios virtuales.

Perfectamente puedes ejecutar el instalador de un programa en SandBoxie Plus; los trazos del programa instalado quedarán expuestos en la ruta "C:\Program Files\Sandbox" (a menos que cambies la ruta en la configuración de la sandbox).

Así que lo que quise decir, o la idea que quise transmitirte, es que utilizar una máquina virtual (Sandboxie Plus) dentro de una máquina virtual (Virtual Box, VMWare, etc) se podría considerar una doble capa de aislamiento, con el objetivo de minimizar el riesgo de que un software malicioso que se ejecute en la VM pueda afectar al sistema operativo invitado, y de ahí pueda infectar al sistema huésped o anfitrión.

Aténtamente,
Elektro.

Entendido completamente ahora, me había confundido viendo un vídeo porque daba un poco lugar a dudas, pero ahora me ha quedado todo muy claro.
Muchas gracias por la aclaración y disculpa la confusión.

Prosiguiendo con el tema ¿qué riesgos hay de propagación de un malware de una VMs a al SO anfitrión? ¿Cuáles podrían ser los medios de dicha propagación?
Ya digo que todo esto es por mera curiosidad y por ampliar conocimientos.
Muchas gracias.
En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #7 en: 17 Marzo 2024, 23:01 pm »

Prosiguiendo con el tema ¿qué riesgos hay de propagación de un malware de una VMs a al SO anfitrión? ¿Cuáles podrían ser los medios de dicha propagación?
Ya digo que todo esto es por mera curiosidad y por ampliar conocimientos.
Muchas gracias.

La principal causa de propagación probablemente sea por recursos físicos compartidos con el sistema anfitrión, como las unidades de red ('carpetas compartidas') o un dispositivo USB.

Mientras tengas la característica de 'carpetas compartidas' desactivadas o la unidad de red desmonatada / inaccesible, y no compartas dispositivos extraíbles de almacenamiento en la VM, creo que la propagación no debería ser motivo de preocupación. Pero siempre es positivo llevar a cabo prácticas adicionales (como las que he mencionado) para minimizar el riesgo de infección en cualquier caso.

Luego pueden existir vulnerabilidades específicas en el software de virtualización que permitan la propagación, pero la cantidad ínfima de malware que puedan explotar esas vulnerabilidades, y que lo hagan antes de ser parcheadas, tampoco creo que deba ser motivo alguno de preocupación.

Más allá de eso, sin tener acceso fisicamente al sistema anfitrión, no se me ocurre como un malware ejecutado en una VM podría infectar al sistema anfitrión solo por tener acceso al dispositivo de red o LAN virtualizado. No digo que no sea posible, solo que de ser posible yo desconozco el procedimiento de infección.

Aténtamente,
Elektro.
« Última modificación: 17 Marzo 2024, 23:07 pm por Eleкtro » En línea



Geralt_de_Rivia

Desconectado Desconectado

Mensajes: 66


Ver Perfil
Re: Máquina aislada Virtualbox
« Respuesta #8 en: 17 Marzo 2024, 23:32 pm »

La principal causa de propagación probablemente sea por recursos físicos compartidos con el sistema anfitrión, como las unidades de red ('carpetas compartidas') o un dispositivo USB.

Mientras tengas la característica de 'carpetas compartidas' desactivadas o la unidad de red desmonatada / inaccesible, y no compartas dispositivos extraíbles de almacenamiento en la VM, creo que la propagación no debería ser motivo de preocupación. Pero siempre es positivo llevar a cabo prácticas adicionales (como las que he mencionado) para minimizar el riesgo de infección en cualquier caso.

Luego pueden existir vulnerabilidades específicas en el software de virtualización que permitan la propagación, pero la cantidad ínfima de malware que puedan explotar esas vulnerabilidades, y que lo hagan antes de ser parcheadas, tampoco creo que deba ser motivo alguno de preocupación.

Más allá de eso, sin tener acceso fisicamente al sistema anfitrión, no se me ocurre como un malware ejecutado en una VM podría infectar al sistema anfitrión solo por tener acceso al dispositivo de red o LAN virtualizado. No digo que no sea posible, solo que de ser posible yo desconozco el procedimiento de infección.

Aténtamente,
Elektro.

Gracias, muy interesante.
Por unidad de red te refieres a un NAS o similar ¿no?
¿Qué hay de las guest additions de Virtual Box? No sé si podrían ser un punto de vulnerabilidad en caso de que se instalen.
Gracias.
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.641


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Máquina aislada Virtualbox
« Respuesta #9 en: 18 Marzo 2024, 11:52 am »

Pues Eleкtro  lo ha explicad muy bien, una máquina virtual es segura, si no hay red y sin carpetas compartidas, pues el riesgo de propagación es casi nulo o inexistente.

Las guest Additions las puedes instalar, pero básicamente son para:


- Carpetas y Portapapeles compartido, mejorar resolución de pantalla y sincronización del uso horario

Instalar las Guest Additions de Virtual Box
https://blog.elhacker.net/2022/07/instalar-las-guest-additions-de-virtual.html

A parte de VirtualBox y otros sistemas de máquinas virtuales también existe el propio de Windows, llamado espacio aislado (sandbox)

Windows Sandbox - "Espacio Aislado"
https://blog.elhacker.net/2023/01/windows-sandbox-espacio-aislado.html
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
varios S.O en una misma máquina. ¿virtualbox o wmware?
Dudas Generales
OssoH 4 3,797 Último mensaje 25 Diciembre 2010, 12:51 pm
por OssoH
Maquina virtual con windows incluido - Virtualbox
Windows
txnofount 5 19,237 Último mensaje 1 Mayo 2011, 22:16 pm
por Randomize
Una IP para cada maquina virtual (VirtualBox) « 1 2 »
Redes
WorkingAPI 12 31,649 Último mensaje 9 Agosto 2011, 17:09 pm
por int_0x40
Instalar Windows Server en una maquina Virtual en VirtualBox
GNU/Linux
Amagekure 0 2,834 Último mensaje 7 Julio 2013, 23:16 pm
por Amagekure
Máquina aislada Virtualbox
Seguridad
Geralt_de_Rivia 4 3,941 Último mensaje 27 Octubre 2022, 14:07 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines