Download di file sospetti in quarantena?

Naviga le tue risposte
5

Esistono strumenti o metodi disponibili per scaricare un file sospetto per l'analisi senza doversi preoccupare di essere infetti?

    
posta m4ck 20.10.2011 - 20:16
fonte

1 risposta

8

Il download in una quarantena in stile AV implica di solito che il file sia codificato o crittografato in qualche modo per disabilitare completamente qualsiasi possibilità che potrebbe avere di attaccare il sistema operativo attraverso un exploit di metadati o un'esecuzione accidentale. Ciò, tuttavia, annullerebbe la tua capacità di analizzare il file.

Le macchine virtuali sono probabilmente la soluzione migliore. Finché si disabilitano determinati meccanismi di condivisione che sono spesso raggruppati come funzionalità predefinite con i prodotti VM (ad esempio la condivisione di directory), l'isolamento dovrebbe essere molto buono.

Ecco la mia solita procedura, all'interno di una VM:

  1. Assicurarsi che tutti gli strumenti di configurazione (ad esempio VMWare Tools) installati sulla macchina virtuale siano stati rimossi. Il malware può sfruttare questi per abilitare determinate funzionalità di condivisione.
  2. Scarica il file in una directory utilizzando wget o un'alternativa, senza avere quella directory aperta in alcun tipo di browser (ad esempio Esplora risorse di Windows). Se tale finestra fosse aperta, i metadati potrebbero essere letti dal file.
  3. Accedi alle impostazioni della VM e disabilita la scheda di rete e tutto l'altro hardware non necessario.
  4. Acquisisci un'istantanea VM nel caso in cui il malware danneggi la macchina.
  5. Inizia l'analisi e scrivi i risultati sul sistema operativo host in modo da non dover interrompere la quarantena per esportarli. Se devi esportare qualcosa, è significativamente più sicuro abilitare la condivisione degli appunti piuttosto che abilitare la scheda di rete e caricare il file da qualche parte.

Se puoi utilizzare una macchina dedicata per questo lavoro, è sempre consigliabile farlo. Consente di configurare un firewall sull'host che limita il traffico in uscita dalla VM, senza il pericolo che il malware lo disabiliti. Permette anche un contenimento più semplice nel caso in cui qualcosa di brutto avvenga.

Ovviamente, la soluzione più sicura sarebbe quella di analizzare qualsiasi eseguibile su una piattaforma che non li supporta, ad es. analizzare il malware di Windows su Linux. Tuttavia, potrebbe essere più difficile trovare buoni strumenti di analisi.

    
risposta data 20.10.2011 - 20:45
fonte

Leggi altre domande sui tag

Quali problemi di sicurezza dovresti tenere a mente quando si hackerano siti web open-invitation? Si tratta di un sintomo di un attacco (DoS / DDoS)?