典型的虚拟机逃逸模式有哪三类

典型的虚拟机逃逸模式有以下三类：

• 从已控VM到Hypervisor：由于对已控VM具有完全的操作权，如果Hypervisor各组件中存在漏洞，且漏洞可以从VM中触发，则攻击者完全可能开发相应的漏洞利用程序，并实现在Hypervisor中以高权限执行任意代码或导致Hypervisor拒绝服务。攻击者的身份可能是网络上的普通黑客，利用远程渗透手段获取VM1控制权，进而实现逃逸；也可能是恶意的VM租户，以用户身份直接攻击Hypervisor（或VM供应商）。相比之下，后者尽管发生概率小，但对虚拟化环境产生的威胁却更大。

• 从已控VM到Hypervisor再到其他VM：以第1种逃逸模式为基础，在获取Hypervisor之后，攻击者可以截获、篡改和转发其他VM对底层资源的请求或各VM之间的通信，并结合对应的安全漏洞实施攻击，最终逃逸到其他VM中。

• 从已控VM直接到其他VM：该逃逸模式利用了VM的镜像漏洞复制问题。同一个Hypervisor创建的VM几乎源于相同的镜像，这使得原始VM镜像中的安全漏洞也在不断地复制和传播。攻击者在充分收集已控VM特点及脆弱性的基础上，从网络中通过适合的渗透手段对其他VM进行攻击，从而实现逃逸。

虚拟机逃逸的防护措施如下：

• 及时更新漏洞补丁，消灭已知漏洞

• 通过缓解措施，提升逃逸难度

• 利用沙箱机制，实施多级防护

• 通过用户行为分析，拦截未知威胁