Configurare un sistema su sandbox / catturare il traffico in uscita da PC Windows? [chiuso]

Naviga le tue risposte
5

Qualcuno sa di un programma / sistema che è stato creato appositamente per permetterti di sandbox / contenere una connessione in uscita da un PC Windows? L'obiettivo è che puoi analizzare i dati inviati tramite la connessione, senza in realtà lasciare che i dati vadano a un dispositivo / sistema che non è sotto il tuo controllo.

Il meglio che riesco a trovare è:

  1. Configura un server con l'IP pertinente e impostalo per accettare le connessioni per il / i protocollo / i e le porte.
  2. Instrada in modo statico il traffico per la connessione in uscita a tale dispositivo (nella tabella di routing del PC client o nel dispositivo gateway predefinito).
  3. Configura Wireshark da un lato (o entrambe le estremità) e cattura il traffico e poi analizza ...

Ovviamente quanto sopra è:

  1. Non molto comodo o veloce da configurare ogni volta.
  2. Non fornisce l'immagine completa dal momento che qualsiasi dispositivo che ho configurato per mascherarsi come lo stesso IP / Port probabilmente non si comporterà nello stesso modo in cui potrebbe essere il vero dispositivo endpoint. (Ad esempio, non so che cosa l'altro dispositivo è configurato per fare se un server di comando e controllo invia istruzioni indietro ecc.)

Come fanno le persone a testare questo, si limitano a configurare un vero ambiente sandbox privo di dati sensibili e lasciare che la connessione vada al vero endpoint e monitorare il traffico bidirezionale?

    
posta Chris 02.10.2015 - 04:34
fonte

2 risposte

0

Se si tratta di analisi del malware, si desidera che una macchina virtuale sia l'oggetto analizzato che inoltra il traffico a un altro che è un proxy. Nel proxy è possibile decidere cosa passa e cosa rimane e reindirizzare i pacchetti se si desidera pre compilare le risposte al fine di ingannare il malware. (falso server cc) quando possibile:)

Per questo solitamente utilizzo le workstation vmware Laboratorio con 1 interfaccia di rete collegata alla rete A in VMware Proxy con 2 connessioni di rete uno nella rete A e un altro Nated o in parallelo con un'altra interfaccia fisica.

Se desideri avere qualcosa che gestisca tutto questo per la ricerca completamente automatica di sandbox cucù:)

    
risposta data 02.10.2015 - 12:56
fonte
0

analyse the data being sent via the connection, without actually letting the data go to a device/system that is not under your control.

A vari livelli di astrazione, i dati verranno inviati solo quando si è verificata una negoziazione - nessun tentativo di stabilire una connessione fino a quando il DNS non viene risolto, nessun flusso TCP fino al completamento dell'handshake TCP, nessuna richiesta HTTP su TLS fino all'handshake SSL completa, e poi ci sono le specifiche dell'applicazione in cima a quello). Quindi, a meno che tu non falsi le risposte a tutti i possibili protocolli che il soggetto userà, o permetta al traffico di fluire liberamente, non vedrai alcun dato utile.

(Dalla memoria, penso che tu possa vedere i dati non cifrati tra un'applicazione e winsock sui computer MSWindows - e ci sono strumenti disponibili per intercettare questo scambio sul PC)

Statically route the traffic

.... coprirà il caso in cui il malware tenta di contattare un C & C - ma non vedrai cosa sta facendo sulla tua rete locale. Configurerei il dispositivo di acquisizione come percorso predefinito, ma eseguo il PC nella sua rete sub-rete / fisica insieme al dispositivo di acquisizione.

Oltre a questo ..... wireshark.

    
risposta data 14.10.2016 - 15:35
fonte

Leggi altre domande sui tag

Firewall nella macchina virtuale L'esecuzione di openssl s_client con una chiave criptata AES fallisce