Lời minh oan: Mình cam đoan là mình chưa trộm đề thi như tiêu đề, nếu như mình có làm thì mình sẽ không share bài viết này để cảnh báo mọi người, mà âm thầm thực hiện cho tới khi bị cảnh cáo.
Kịch bản xảy ra: Thời gian giữa lúc báo cáo đồ án và thi học kỳ. Lúc này là lúc sinh viên nộp đồ án (trong đó có file virtual machine) và giảng viên có thể đã ra đề (giả sử đề nằm trong Laptop cá nhân)-> Cơ hội tấn công.
Attacker lợi dụng việc nộp đồ án để nộp 1 máy ảo chứa mã độc, bằng cách:
– Trong máy ảo này có config share thư mục (read, write), và mạng là NAT.
– Trong máy ảo chứa một đoạn code và đoạn code này sẽ được thực thi khi khởi động.
Đoạn code này có thể là đọc tất cả các file thư mục sharing và đẩy lên server của attacker bằng một giao thức nào đó -> leak data.
Thậm chí đoạn code này có thể sửa và ghi lên ổ đĩa của victim -> thực thi ransomware, thay đổi nội dung file nào đó (đề thi).
– Cuối cùng export ra file ova (hoặc định dạng nào đó khác) và nộp cùng đồ án.
Khi victim nhận được máy ảo, nếu victim chỉ import và chạy trực tiếp thì:
– Máy ảo sẽ load file config và không hỏi han gì
– Quyền load sẽ là quyền của VirtualBox (vì VirtualBox đọc file ova, không phải file ova tự chạy), do đó có khả năng read, write một số file …
– Nếu victim không check lại config mà run máy ảo này thì đoạn mã độc này có thể tấn công ở quyền read, write một số dữ liệu máy thật.
Dưới đây là video để chứng minh điều này
Lời cuối Attack vector này xảy ra là do những điều kiện sau đây:
– Một kẻ tấn công với một mục tiêu nào đó
– Một VirtualBox quá tin vào người dùng mà không kiểm tra config
– Một người sử dụng (Victim) cẩu thả không kiểm tra config ban đầu
0xD0ff9 