Come posso testare in sicurezza il malware in una VM? [duplicare]

7

Questa domanda è stata probabilmente posta più volte qui, ma lo chiederò in modo un po 'diverso.

Sto cercando di conoscere il malware e il modo in cui infetta i computer e come disinfettare un computer se uno viene attaccato. Ho visto diverse persone utilizzare macchine virtuali per testare il malware (uso VirtualBox da alcuni anni) e ho pensato di farlo anche io, ma temo che il malware possa "fuoriuscire" dalla VM e rovina il mio computer host e tutti i computer sulla mia rete.

Le domande che ho sono:

  1. Posso testare il malware in VirtualBox con accesso a Internet nella VM senza danneggiare il mio computer host o uno degli altri computer sulla mia rete?

  2. Se utilizzo un computer reale per testare il malware (ho una gazzosa torre della Dell XP che gira intorno), la formattazione delle afterwords sarà sufficiente?

  3. Il mio tower Dell XP ha anche Internet abilitato senza che il malware abbia effetto sugli altri miei computer?

  4. Anche se non è possibile abilitare Internet e utilizzare malware all'interno della VM contemporaneamente, è possibile che il malware continui a "saltare" fuori dalla VM e ad attaccare il mio computer host?

  5. Dato che farò anche "scherzo" a qualcuno dei cliché truffatori di Windows (beh, non scherzo, solo testando i modi in cui possono entrare e fare danni), sarebbe sicuro usare una VM, o posso persino usare quella dannata Dell mia?

  6. Sarà inoltre necessario mascherare i miei indirizzi IP e MAC in modo che non vengano registrati e inviati a chiunque possa riceverli mentre eseguo il test del malware?

  7. Se riesco a eseguire il malware in modo sicuro all'interno di una VM, quali passaggi sono necessari per mantenere i miei contenuti reali al sicuro?

Se questo aiuta, il mio computer host sarà un Mac con OS X 10.8.5 o un tower che esegue XP (non il mio Dell).

E il guest sarà un sistema operativo, ma principalmente Windows (sì, dal più recente al più vecchio)

Spero di averlo spiegato abbastanza bene per voi ragazzi.

Tutti gli aiuti saranno molto apprezzati.

Grazie!

    
posta Terkey-Juice 13.05.2016 - 05:46
fonte

4 risposte

4

1/3/4/7-Accesso a Internet? Non è una buona idea in quanto dipende da cosa fa, la tua VM potrebbe rilasciarla "in the wild". Eseguirlo in una VM dovrebbe essere perfetto se non è connesso a Internet. Questa risposta di The Bear fornirà molti più dettagli sul malware che sfugge a una VM. Qui

La formattazione a 2 dovrebbe andare bene per il 99% del malware. Alcuni possono attaccare altre aree diverse dall'harddrive, quindi tienilo a mente e cerca con cosa stai giocando. Maggiori informazioni qui

6 - Potresti usare un proxy, ma come dice Munkeyoto, per analizzare correttamente, devi vedere il traffico.

Per quanto riguarda la tua domanda nei commenti ... -Sì. Non dovresti avere problemi con la sola formattazione. Esiste un malware estremamente sofisticato che può risiedere se MBR, BIOS, firmware, ma questo dovrebbe essere al di sopra del malware quotidiano. A MENO CHE tu abbia le periferiche collegate (ad esempio l'unità USB).

    
risposta data 13.05.2016 - 07:35
fonte
3

Your 1) Posso testare il malware in VirtualBox con accesso a Internet all'interno della VM senza danneggiare il mio computer host o uno degli altri computer sulla mia rete?

Non vorresti. Supponiamo che il malware che stai analizzando sia progettato per rivolgersi direttamente a una banca o a una macchina governativa. Potresti imporsi per enormi responsabilità. Da una parte dell'equazione, non avere la connettività limita i risultati. Ad esempio, quando si ha a che fare con un ceppo di malware basato su C & C non si vedrebbero mai nuovi droppers, o comandi di base C & C.

La soluzione per questo sarebbe inserire un proxy tra te e il resto del mondo. Per fare ciò correttamente, ciò che dovresti fare è osservare le connessioni, STOP immediato le connessioni, verificare che il tuo sistema non stia facendo un malintenzionato connessione, quindi creare un permesso per la regola fw della macchina dannosa, bloccando altre connessioni. Sarebbe come questo:

You --> run malware
Malware connects to malicious site --> get commands (here you get the address of malicious host)
You --> create a BLOCK ALL fw rule, and then create an ALLOW MALICIOUS RULE

Ciò consente al tuo sistema di SOLO di parlare al sistema malevolo. Se tenta di lanciare attacchi dal tuo computer, le regole fw lo bloccherebbero. In modo ottimale, vorresti creare percorsi falsi. Per esempio:.

route add 0.0.0.0/0 10.10.10.10/32

Dove tutto il traffico in uscita è diretto a un sistema (10.10.10.10/32) dove su quella macchina si eseguiranno gli strumenti di analisi della rete (Wireshark, Netwitness).

Your 2) Se utilizzo un computer reale per testare il malware (ho una gazzosa torre Dell XP che gira intorno), la formattazione delle afterwords sarà sufficiente?

Perché non solo creare e memorizzare un'immagine fantasma, analizzare, ripristinare l'immagine fantasma. Il malware basato sul BIOS è raro, tuttavia, dal lato della sicurezza è possibile proteggere con password il proprio bios o eseguire qualcosa come " regshot " a tenere traccia dei comandi eseguiti. Forse anche flytrap da HB Gary (se ancora disponibile)

Your 3) Il mio tower Dell XP ha anche Internet abilitato senza che il malware abbia effetto sugli altri miei computer?

Non si potrebbe mai sapere. Alcuni malware possono scaricare strumenti di exploit (metasploit, ecc.) Quindi eseguire la scansione degli host interni per le vulnerabilità

Your 4) Anche se non è possibile abilitare Internet e utilizzare malware all'interno della VM nello stesso momento, è possibile che il malware continui a "saltare" fuori dalla VM e ad attaccare il mio computer host?

Questo è stato risposto nel tuo 3

Your 5) Dato che anch'io farò "scherzo" a qualcuno dei cliché di Windows scammer (beh, non scherzo, solo testando i modi in cui possono entrare e fare danni), sarebbe sicuro usare un VM, o posso persino usare quella dannata Dell mia?

Definisci "scherzo". Molti autori di malware sono molto esperti dal punto di vista tecnico e il malware comune può determinare se si trovano su un honeypot, in esecuzione su una VM o se qualcosa non funziona. A parte questo, molti autori di malware sono spesso integrati nel crimine organizzato, quindi potrebbe essere un gioco molto pericoloso da giocare.

Your 6) Sarà anche necessario mascherare i miei indirizzi IP e MAC in modo che non vengano registrati e inviati a chiunque possa riceverli mentre sto facendo il test del malware?

Non chiaro su questa affermazione. Definire IP mascheramento. Se / quando ti connetti a un host, devi venire da qualche parte. L'unica soluzione per ottenere risultati corretti (cosa fa il malware) la macchina deve rispondere a te. Potresti utilizzare un proxy VPN, ma non esiste alcun metodo per falsificare nulla.

Your 7) Se posso eseguire il malware in modo sicuro all'interno di una VM, quali passaggi sono necessari per mantenere i miei contenuti reali al sicuro?

Non analizzare malware sulla stessa rete dei tuoi "contenuti reali" procurati un router separato e posizionalo SOLO lì.

    
risposta data 13.05.2016 - 18:56
fonte
2

Il problema che effettivamente avrai, quando utilizzi una VM, è che la maggior parte dei malware rifiuterà di aprire il suo carico utile in modo da non fare molte ricerche. I ricercatori che usano le macchine virtuali per sezionare il malware sono troppo comuni e la maggior parte dei malware al giorno d'oggi lo impedisce attivamente cercando indizi che sia in esecuzione su una VM e rimanendo inattivo se li trova. Tienilo a mente se persegui il metodo virtualizzato, probabilmente otterrai risultati diversi da quelli che eseguono gli stessi test su un sistema bare metal.

Detto questo, dovresti usare il desktop con le stesse precauzioni: limitare tutti gli accessi alla rete, non collegarlo mai alla rete locale e non fornire mai l'accesso a Internet, a meno che tu non stia guardando direttamente ciò che sta facendo con uno sniffer di traffico e può ucciderlo se inizia a fare qualcosa di malizioso come sparare a un attacco DoS o portscan all'NSA. Inoltre, non condividere alcun supporto (pen drive, ecc.) Sul sistema dopo che il malware è stato distribuito. Se vuoi salvare i file per un uso futuro, metti un anello di burocrazia sull'unità per assicurarti di non mischiarli con altri.

    
risposta data 13.05.2016 - 18:32
fonte
0

Dipende da quale malware - se hai una buona idea del comportamento del particolare ceppo di malware che stai testando, l'accesso a Internet non dovrebbe essere un problema. Naturalmente devi avere la certezza che l'esecuzione non attaccherà nessun host internet, ad esempio, da altri rapporti affidabili sull'analisi del malware.

Ci saranno sempre breakout della VM possibili, anche se questi bug sono stati scoperti o meno. In generale, si è sicuri, soprattutto se si testano solo malware noti per non contenere eventuali exploit VM.

Recentemente ho installato una rete VMware Fusion per i test sui malware. A seconda del ceppo di malware, ho potuto configurare Iptables per bloccare l'accesso a Internet (a parte il DNS e altri host autorizzati) o per consentire l'accesso a Internet. L'accesso agli indirizzi privati era sempre proibito: questo proteggerà la tua rete locale dall'incrocio del malware.

La mia topologia era la seguente:

Host (Mac) <--> Debian running as IP forwarder with Iptables <--> Windows Test machine
                                                              |->  Kali box

La scatola di Kali era lì, quindi potevo anche eseguire i miei exploit personalizzati contro il computer di destinazione, da un punto di vista esterno.

Il sistema Debian aveva due interfacce di rete, questo abilita la rete a destra per essere configurata senza accesso al computer host, né alcun accesso di rete esterno. La rete a sinistra è stata configurata solo con accesso a Internet e nessun accesso host.

Non è necessario preoccuparsi che i MAC vengano esposti, poiché si tratta di entità di rete di livello due, quindi non hanno alcun impatto sulla connettività Internet dei dispositivi, ma solo sulla rete locale. Naturalmente, se il malware contatta qualsiasi servizio basato su Internet, il tuo IP sarà esposto a questo, a meno che tu non configuri il sistema Debian su VPN o Tor queste connessioni.

L'elefante nella stanza è che anche con "comportamenti malware attendibili", il malware in questione potrebbe scaricare eseguibili arbitrari dal suo host controller, quindi potrebbe fare qualcosa come attaccare siti web bancari o tentare di uscire dalla VM. Pertanto, se si tratta di un problema, è necessario simulare l'host del controller utilizzando un'altra VM se si desidera veramente analizzare il comportamento del malware e non consentire l'accesso a Internet totalmente.

    
risposta data 16.05.2016 - 11:48
fonte

Leggi altre domande sui tag