it-swarm-eu.dev

Ist es sicher, Malware in einer VM) zu installieren?

Ist es sicher, Malware in virtuellen Maschinen zu installieren? Ich möchte Malware untersuchen, möchte aber meinen eigenen Computer nicht infizieren.

Kann ich die Malware in einer VMWare-VM installieren, möglicherweise sogar ohne Netzwerkzugriff, ohne die Integrität meines Host-Systems zu gefährden?

60
Erik

Es gibt keine einfache Antwort auf diese Frage. VM Software ist immer noch Software und weist Schwachstellen auf, die gezielt und zumindest theoretisch ausgenutzt werden können, um mehr Schaden anzurichten.

Das Ausführen einer infizierten VM mit Zugriff auf Ihr Netzwerk) eröffnet auch potenzielle Angriffsmethoden.

Ein weiterer interessanter Punkt ist, dass ausreichend fortgeschrittene Malware VM-fähig sein und ihr Verhalten ändern kann, wenn festgestellt wird, dass sie in einer VM ausgeführt wird, wodurch die tatsächlichen schädlichen Funktionen maskiert werden.

34
code_burgar

Ich habe noch keine In-the-Wild-Malware gesehen, die entwickelt wurde, um einen Host-Computer innerhalb einer VM zu infizieren. Ich gehe davon aus, dass es den meisten Malware einfach egal ist, ob sie auf der bloßen Hardware oder innerhalb einer VM) ausgeführt wird, da sie ihre Ziele in beiden Fällen gleich gut erreichen kann. Es ist wahrscheinlich sicher anzunehmen, dass Malware einem VM nicht entgeht), einfach weil es keinen Anreiz dazu gibt.

Es gibt Tools zum Eindämmen und Analysieren von Malware und viele verfügbare Informationenwie das geht . Auch ein Paar von Papieren mit Techniken und Werkzeugen.

22
Ladadadada

Ja, wenn Sie sich strikt an einige (absolut vernünftige) Sicherheitsregeln halten:

  1. Verwenden Sie ein vollständig anderes Betriebssystem für den Host und für den Gast. Zum Beispiel ist es unwahrscheinlich, dass Malware, die Ihren Windows Gast infiziert, Ihren Linux Host infiziert oder sogar angreift.

  2. Verwenden Sie in Ihrem Netzwerk keine ähnlichen Betriebssysteme wie der Gast. Auch hier könnte Ihr Windows Gast infiziert sein, aber es ist sehr unwahrscheinlich, dass ein OpenBSD von Malware angegriffen wird.

  3. Verwenden Sie gesunden Menschenverstand. Das Ziel des virtualisierten Systems sollte vollständig infiziert sein. Verwenden Sie das infizierte System beispielsweise nicht für Ihre Online-Banking-Operationen.

  4. Kennen Sie Ihre Grenzen. Das ist extrem wichtig. Wenn der Verdacht besteht, dass auf Ihrem System andere Malware als die zu untersuchende Malware aufgetreten ist, beenden Sie das Experiment sofort und beginnen Sie von vorne.

Die ersten beiden Punkte der Liste garantieren mit Sicherheit fast, dass eine Sicherheitslücke in Ihrem Virtualisierungssystem Ihren anderen Computern keinen Schaden zufügt.

17
vakufo

VM und ein Debugger sind die beste nicht professionelle Option, die Sie haben.
AV-Unternehmen verwenden normalerweise eine Sandbox , um das Verhalten zu analysieren. Wenn Sie suchen, finden Sie Anwendungen wie diese.

3
vlg789

Die einzig mögliche Möglichkeit besteht darin, einen Fehler in der Software VM auszunutzen), da alles, was die VM] tut, darin besteht, Ereignisse wie E/A abzufangen und an den Host zu übergeben Wenn sich Ihr Anbieter hier und da nicht um Pufferüberläufe gekümmert hat, könnten Sie wahrscheinlich gefährlichen Code auf dem Host-Computer ausführen. ABER! Ich bin mir eigentlich nicht 100% sicher.

2
Andre

Wenn Sie unter Linux wie Ubuntu oder Debian arbeiten, gibt es eine großartige Sandbox namens Limon Sandbox. Das Papier finden Sie hier https://www.blackhat.com/docs/eu-15/materials/eu-15) -KA-Automating-Linux-Malware-Analyse-Using-Limon-Sandbox-wp.pdf und wenn Sie eine gute Erklärung für die Installation wünschen, folgen Sie bitte hier http: //malware-unplugged.blogspot. in/2015/11/Einrichten der Limon-Sandbox zum Analysieren.html

1
ashish

Ich möchte nur Informationen hinzufügen, damit Sie bei diesem Problem vorsichtiger sind als bei anderen Antworten (ohne deren Wert zu verringern).

Ein Forscher sagte :

Unternehmen und Administratoren neigen dazu, darauf zu vertrauen, dass ein Ausbruch aus einem VM nicht möglich) ist. Viele Leute betrachten dies nur als einen weiteren Proof-of-Concept. Sie verstehen nicht, dass dies ein kommerzieller ist verfügbarer Exploit.

Das Thema ist so ernst, dass kommerzielle Tools wie dieses bereits in der Vergangenheit zu diesem Zweck entwickelt wurden.

1
user45139