Побег без привилегий root?

Краткий ответ заключается в том, что корневой доступ внутри виртуальной машины не гарантируется. Это затрудняет работу с некоторыми формами вредоносных программ, но не со всеми.

Мой совет: считать виновным все, -кому доверяют, пока его невиновность не будет доказана. То есть предполагайте, что все, -которым не доверяют, определенно вредоносно, и радуйтесь, когда вы ошибаетесь.

С этой целью я хотел бы просмотреть как можно больше советов о том, как анализировать известное вредоносное ПО. Там есть несколько хороших советов о рисках. Прочитав кое-что из этого, я бы сказал, что общее мнение, похоже, заключается в том, что по-прежнему существуют риски. Конкретные векторы атаки есть / были:

• черви, которые могут переходить с одной машины на другую по сети. Ваша виртуальная машина, скорее всего, находится в сети, как и ваш хост. Помните, что ваш компьютер обычно находится за брандмауэром (даже просто за домашним маршрутизатором ), который блокирует множество атак через дверь. Запуск виртуальной машины помещает вредоносное ПО в вашу сеть через брандмауэр.
• Существуют эксплойты таймингов процессора. См. Meltdown и Spectre . Даже без побега от виртуальной машины существует риск того, что эта ошибка типа может выдать секретную информацию с вашего хоста.
• Инструменты виртуальной машины. Они неявно предназначены для предоставления вашей виртуальной машине доступа к функциям на хосте, и эксплойты могут предоставить больше доступа, чем ожидалось. Обычно для их установки не требуется , но если вы это сделаете, они могут быть уязвимы.

Из вашего вопроса и комментариев

but as I know most escape actions need to get the root privilege

«большинство» — не очень хорошее слово в сфере безопасности.

If you don't trust an application, don't run it.

Но ведь это реальная жизнь, и это не всегда вариант. Но это разумное правило. Если вы намеренно не пытаетесь анализировать вредоносное ПО, сначала проверьте источник того, что вы устанавливаете. Убедитесь, что он получен из авторитетного источника, и сделайте все возможное, чтобы проверить, сколько людей используют его / говорят о нем в Интернете.

Ссылки для дальнейшего чтения (читайте полные ответы здесь!)

https://security.stackexchange.com/a/3060/10066

VMs can definitely cross over. Usually you have them networked, so any malware with a network component (i.e. worms) will propagate to wherever their addressing/routing allows them to. Regular viruses tend to only operate in usermode, so while they couldn't communicate overtly, they could still set up a covert channel. If you are sharing CPUs, a busy process on one VM can effectively communicate state to another VM (that's your prototypical timing covert channel).

https://security.stackexchange.com/a/3058/10066

Nonetheless, it's pretty good. Probably most malware that you run across in the field won't have special code to escape from a VM. And running the malware in a VM is certainly a lot safer than installing it directly onto your everyday work machine!

https://security.stackexchange.com/a/23503/10066

The few vulnerabilities I see these days are based more in the 'vmtools' portion. This is the software you install to make the guest OS run more efficiently (for VMWare this is what allows on the fly cursor capture, and sharing between guest and host without a network). This is a special software pathway for infection; don't install the tools, don't have the vulnerability.