it-swarm-eu.dev

È sicuro usare le macchine virtuali quando si esaminano i malware?

Vogliamo studiare per il programma CEH e abbiamo scaricato 12 DVD che 6 DVD sono key-logger software, Trojan, ecc. Che sono tutti rilevati dall'antivirus. Questo ci impedisce di esaminarli e di imparare come funzionano.

Ho chiesto agli studenti di non disinstallare l'antivirus poiché l'esecuzione di questi file dannosi non è sicura da sola. Potrebbe persino diffondersi sulla rete.

Uno degli studenti suggerisce di usare Windows XP mode . È sicuro? Vedo questi articoli 1 e 2 qui ma le risposte sono contraddittorie e ci confondono.

Le macchine virtuali sono sicure per il download e l'installazione di Trojan, key-logger, ecc.?

Esiste un altro modo per risolvere questi problemi, ad es. impostare un laboratorio per mostrare cosa succede alle vittime del malware?

Le macchine virtuali sono sicure per questo? La risposta è la stessa di molte domande del modulo "Is X safe?": No, non è assolutamente sicuro.

Come descritto altrove, a volte i bug nella macchina virtuale o una configurazione errata possono consentire la fuga del malware. Quindi, almeno in linea di principio, un malware sofisticato potrebbe potenzialmente essere in grado di rilevare che è in esecuzione in un VM e (se il tuo VM ha una vulnerabilità o una scarsa configurazione) sfruttare la vulnerabilità o la configurazione errata per uscire dalla VM.

Tuttavia, è abbastanza buono. Probabilmente la maggior parte dei malware che si imbattono nel campo non avranno codice speciale per fuggire da una VM.

Ed eseguire il malware in un VM è sicuramente molto più sicuro che installarlo direttamente sul tuo computer di lavoro quotidiano!

Probabilmente il problema più grande con l'analisi dei campioni di malware in un VM è che alcuni autori di malware stanno iniziando a diventare intelligenti e stanno scrivendo il loro malware in modo che possa rilevare quando viene eseguito in un VM e arresto durante l'esecuzione all'interno di una VM. Ciò significa che non sarai in grado di analizzare il comportamento dannoso, perché non si comporterà male quando viene eseguito all'interno di una VM.

Quali alternative ci sono? È possibile impostare un computer sacrificale su un computer locale, installare il malware lì, quindi pulirlo. Tale rete di test deve essere configurata con estrema attenzione , per garantire che il malware non possa propagarsi, non possa diffondersi ad altre tue macchine e non può fare del male agli altri.

Riferimenti:

29
D.W.

L'uso di una macchina virtuale è un modo più sicuro per studiare il malware che eseguirlo su una macchina normale - il motivo principale è che puoi cancellare e ricominciare da una nuova immagine conosciuta in qualsiasi momento.

Anche l'isolamento è fondamentale: se le tue macchine virtuali sono connesse alla tua rete saranno in grado di diffondere malware proprio come se fossero macchine fisiche, quindi isolale logicamente (all'interno dell'host) o fisicamente (disconnettiti dalla rete)

19
Rory Alsop

Ho visto abbastanza informazioni tangenziali per credere che alcuni virus siano in grado in questi giorni di rilevare che si trovano su una macchina virtuale e di modificare il loro comportamento di conseguenza. L'esempio che ho sentito è che il codice apparirà benigno in VM e quindi riattivato e infiltrato quando non in una VM.

La mia raccomandazione ogni volta che si desidera testare malware è quella di giocare in una camera bianca con attrezzature usa e getta. Non fidarti del VM per essere la tua barriera - corri in un laboratorio in cui qualsiasi rete che fornisci è completamente autonoma, connessa a nient'altro. Assicurati che qualsiasi memoria rimovibile (USB, ecc.) Tu l'uso è un modo solo dal mondo esterno e, quando hai finito, cancella e reinventa i computer che hai usato per i test. Riporta tutto a un buono stato noto, non provare a ripulire manualmente.

Ai fini dello studio, sarebbe probabilmente molto divertente provare i virus sia su una macchina con un vM che su un normale host con ossa nude. Probabilmente lancerei anche un po 'di monitoraggio della rete lì, per vedere cosa tenta di fare il software sulla rete.

13
bethlakshmi

Non proverei a scherzare con la "modalità XP" come metodo per isolare il malware. Una macchina virtuale è la soluzione migliore. Il sistema operativo guest sarà isolato dal sistema host, quindi verrà installato sul VM e farà le sue cose cattive, e puoi semplicemente ripristinarlo in un'istantanea pulita quando hai finito .

9
Polynomial

Perché non eseguirlo in un contenitore?

È possibile selezionare una moltitudine di immagini, preparare l'ambiente per un singolo malware collegando strumenti/script di monitoraggio mirati in modo specifico.

Il livello di sicurezza per proteggere il tuo computer, che sia fisico o virtuale, dipenderà dall'isolamento specificato in precedenza per il contenitore.

Con i contenitori che diventano ancora più chiari in quanto hai più visibilità su ciò che il malware sta influenzando poiché puoi avere n combinazioni di sistemi che possono essere spinte facilmente.

Potresti anche voler analizzare il comportamento di tale malware all'interno di una rete. È sufficiente isolare più contenitori con la propria rete all'interno di un sandbox di rete e assicurarsi che quest'ultimo sia completamente staccato dalla macchina host.

Per l'isolamento dell'hardware durante tali ispezioni è possibile utilizzare Pi o qualsiasi hardware economico.

Si tratta in realtà di consentire al malware di comportarsi come farebbe su un normale computer e di isolarlo completamente dall'esterno come altri hanno già indicato.

3
Alan

Penso che non dobbiamo essere più intelligenti come lo sono davvero i bravi professori. Mark Russinovich di solito usa macchine virtuali per analizzare un comportamento del codice. Naturalmente questo non significa che non devi stare attento, isolare la macchina virtuale per quanto possibile (impostazioni del firewall e così via).

2
sh4d0w

Il mio modo di testare il malware è installare quanto segue:

PC host

  • Software sandboxing (come Sandboxie)

  • Macchina virtuale (come VirtualBox o VMware)

  • Un AV aggiuntivo (come Avast o MalwareBytes)

PC guest

  • Software di sandboxing

()

Dopo aver ottenuto tutto ciò, sandbox la macchina virtuale (su PC host) e attivare AV

Una volta aperta la macchina virtuale, apri qualsiasi virus nella sandbox.

To Go Il miglio extra

È possibile installare un VM all'interno di una VM e sandbox che, ma si noti che richiede un PC molto potente.

1
Veggieoskibroski

Da aggiungere alle meravigliose risposte fornite da altri e aggiungere la mia esperienza ad esso-

Nessuna macchina virtuale non è "sicura" per il tuo scopo, come è già stato elaborato da @bethlakshmi.
Faccio anche qualche tipo di esperimenti relativi alla sicurezza, e così ho chiesto alle mie autorità di fornirmi una LAN separata che è disconnessa dal resto della rete nella mia Università.

Quello che ho ottenuto è stato un VLAN che è disconnesso dal resto della nostra rete- e faccio tutti i miei esperimenti su macchine virtuali in quella rete (che, di nuovo, non è l'opzione migliore - Una semplice ricerca su questo sito ti rivelerà che le VLAN non sono in realtà una "sicurezza" - vedi qui ). Quindi la soluzione migliore sembra essere quella di avere una rete che è disconnessa dal resto di la tua rete o semplicemente non connettere le VM a una rete e tenerle isolate.

Aggiunta al commento di @Legolas -
E sicuramente stai alla larga da qualsiasi cosa proveniente/approvata dalla comunità del cappello nero. Per il mio contesto, posso dire di uno strumento chiamato Havij: non sono sicuro delle cose nel tuo contesto. Quando hai a che fare con malware e cose del genere, non fai mai tutto ciò che farà a parte ciò che afferma di fare!

1
pnp