从来宾操作系统(Virtualbox)减缓影响主机操作系统的幽灵和熔毁

Question

我不知道幽灵和熔毁的所有细节，但我理解它的方式是，他们允许从记忆中阅读，而不是写到记忆中。此外，我还读到，至少幽灵可以离开虚拟机，因此也会影响主机操作系统。最后，Whonix网站说(总结和重点补充)：

实验幽灵/熔毁防御。只供测试人员使用！可能不值得，因为巨大的性能损失和不明确的安全利益。尽管:主机微码升级，主机内核升级，VM内核升级，在主机上显示“无漏洞”的幽灵-熔毁-检查器，最新的VirtualBox版本，所有与幽灵/熔毁相关的VirtualBox设置调优以提高安全性，如下文所述.VirtualBox很可能仍然容易受到幽灵/崩溃的影响。有关参考，请参见VirtualBox bug报告/论坛讨论。用户只能等待VirtualBox开发人员修复这个问题。

因此，我们可以做些什么来减轻来自客户操作系统的幽灵和熔毁的影响，并避免它们影响主机操作系统？

我认为，如果幽灵和熔毁只允许恶意软件读取数据(内存)，那么我想没有网络连接的VM可以避免这个问题。受感染的来宾操作系统可以从主机操作系统读取数据，但是它不能将数据发送到任何地方。然而，如果我希望我的客户操作系统能够连接到互联网，那么就会有麻烦，我不知道该做什么。

Answer 1

大多数威胁都假定存在互联网连接。在没有互联网的情况下，提取数据通常是很有挑战性的。

幽灵和熔毁漏洞允许攻击者看到通常受到限制的数据。这可能包括加密密钥、身份验证令牌或其他高度敏感的数据。

如果受损的VM具有网络连接性，攻击者可以从底层操作系统窃取任何这些信息。

在企业环境中，这尤其危险，因为系统管理程序凭据可能被窃取，并被用来危害所有来宾VM。