È sicuro usare macchine virtuali quando si esamina il malware?

Perché non eseguirlo in un contenitore?

Puoi selezionare una moltitudine di immagini, preparare l'ambiente per un singolo malware collegando strumenti di monitoraggio / script mirati specificamente a esso.

Il livello di sicurezza per proteggere la tua macchina, che essere fisico o virtuale dipenderà dall'isolamento che hai specificato prima della mano per il container.

Con i contenitori che diventano ancora più chiari in quanto si ha maggiore visibilità su ciò che il malware sta influenzando poiché è possibile avere n combinazioni di sistemi in rotazione facilmente.

Potresti anche voler analizzare il comportamento di tale malware all'interno di una rete. È sufficiente isolare più contenitori con la propria rete all'interno di una sandbox di rete e assicurarsi che quest'ultimo sia completamente scollegato dalla macchina host.

Per l'isolamento dell'hardware durante tali ispezioni puoi usare Pi o qualsiasi altro hardware economico.

Si tratta davvero di permettere al malware di comportarsi come se fosse un normale computer e di isolarlo completamente dall'esterno, come già indicato da altri.

Le macchine virtuali sono sicure per questo? La risposta è la stessa di molte domande del modulo "X è sicuro?": No, non è assolutamente sicuro.

Come descritto altrove, i bug nella macchina virtuale o la configurazione inadeguata possono a volte consentire la fuga del malware. Quindi, almeno in linea di principio, un malware sofisticato potrebbe essere in grado di rilevare che è in esecuzione su una VM e (se la tua VM ha una vulnerabilità o una configurazione scarsa) sfruttare la vulnerabilità o l'errata configurazione per uscire dalla tua VM.

Tuttavia, è abbastanza buono. Probabilmente la maggior parte di malware che si attraversa nel campo non avrà codice speciale per uscire da una VM.

E far funzionare il malware in una VM è sicuramente molto più sicuro che installarlo direttamente sulla tua macchina da lavoro quotidiana!

Probabilmente il problema più grande con l'analisi dei campioni di malware in una VM è che alcuni autori di malware stanno iniziando a diventare intelligenti e stanno scrivendo il malware in modo che possa rilevare quando viene eseguito in una VM e arrestato quando è in esecuzione all'interno di una VM. Ciò significa che non sarai in grado di analizzare il comportamento malevolo, perché non si comporta male quando viene eseguito all'interno di una VM.

Quali alternative ci sono? È possibile impostare una macchina sacrificale su una macchina locale, installare il malware lì, quindi pulirlo. Tale rete di test deve essere impostata con estrema attenzione , per garantire che il malware non possa propagarsi, non possa diffondersi ad altre macchine e non possa arrecare alcun danno agli altri.

References:

• È sicuro installare malware in una VM (Riepilogo: "Non esiste una risposta semplice ", e ci sono alcuni rischi)

• Quanto sono sicure le macchine virtuali? Falso senso di sicurezza? (Riepilogo: ci sono sicuramente alcuni rischi che potrebbero consentire al malware di uscire dalla VM)

• Una macchina virtuale impedisce ai malware di fare del male? (Riepilogo: a volte ci sono state vulnerabilità che ha permesso al malware di uscire dalla VM)

L'utilizzo di una macchina virtuale è un modo più sicuro di studiare il malware piuttosto che eseguirlo su una macchina normale, il motivo principale è che puoi cancellare e ricominciare da una nuova immagine conosciuta in qualsiasi momento.

L'isolamento è anche la chiave, tuttavia - se le macchine virtuali sono connesse alla rete, saranno in grado di diffondere il malware come se fossero macchine fisiche, quindi isolare logicamente (all'interno dell'host) o fisicamente (disconnettersi dalla rete )

Ho visto abbastanza informazioni tangenziali per credere che alcuni virus siano in grado in questi giorni di rilevare che si trovano su una macchina virtuale e modificare di conseguenza il loro comportamento. L'esempio che ho sentito è che il codice apparirà benigno nella VM e quindi si riattiverà e si infiltrerà quando non si trova in una VM.

La mia raccomandazione ogni volta che vuoi testare il malware è giocare in una camera bianca con attrezzature usa e getta. Non fidarti del fatto che la VM sia la tua barriera: corri in un laboratorio in cui qualsiasi rete che fornisci è completamente autonoma, collegata a nient'altro. Assicurati che qualsiasi memoria rimovibile (USB, ecc.) Che usi sia unidirezionale dal mondo esterno e, quando hai finito, cancella e reimposta i computer che hai usato per i test. Riporta tutto a uno stato buono noto, non provare a ripulire manualmente.

Per motivi di studio, sarebbe probabilmente molto divertente provare i virus sia su una macchina con un VM che su un normale host bare bones. Probabilmente anche lì getterò un po 'di monitoraggio della rete per vedere cosa prova il software in rete.

Non proverò a scherzare con la "modalità XP" come metodo per isolare il malware. Una macchina virtuale è la soluzione migliore. Il sistema operativo guest sarà isolato dal sistema host, quindi verrà installato sulla VM e farà i suoi brutti elementi e, una volta terminato, potrai tornare a un'istantanea pulita.

Penso che non dobbiamo essere più intelligenti come lo sono davvero i buoni professori. Mark Russinovich di solito usa macchine virtuali per analizzare un comportamento del codice. Ovviamente questo non significa che non devi fare attenzione, isolare la macchina virtuale il più lontano possibile (impostazioni del firewall e così via).

Per aggiungere le meravigliose risposte date da altri e per aggiungere la mia esperienza ad esso -

Nessuna macchina virtuale non è "sicura" per il tuo scopo, come è già stato elaborato da @bethlakshmi.
 Faccio anche qualche tipo di esperimento relativo alla sicurezza, quindi ho chiesto alle mie autorità di fornirmi una LAN separata che è scollegata dal resto della rete della mia università.

Quello che ho finito per ottenere è stata una VLAN che è scollegata dal resto della nostra rete- e faccio tutti i miei esperimenti su macchine virtuali in quella rete (che, ancora una volta, non è l'opzione migliore - Una semplice ricerca su questo sito ti rivelerà che le VLAN non sono realmente una 'sicurezza' - vedi qui ). Quindi la tua migliore scommessa sembra essere quella di avere una rete che è scollegata dal resto della rete, o semplicemente non connettere le VM a una rete e tenerle isolate.

Aggiunta al commento di @Legolas -
 E sicuramente stare lontano da qualsiasi cosa proveniente / approvata dalla comunità black hat. Per quanto riguarda il mio contesto, posso dire di uno strumento chiamato Havij, non certo delle cose nel tuo contesto. Quando hai a che fare con malware e cose del genere, non sai mai cosa farà tutto a parte quello che pretende di fare!