Perché non posso eseguire malware nel mio ambiente virtuale

3

Sto cercando di eseguire alcuni campioni di malware nel mio laboratorio virtuale per acquisire i loro IOC. Sto facendo questo per la mia tesi di master ma non riesco a far funzionare il malware.

Ho scaricato campioni dall'analisi ibrida. se provo a eseguire il malware utilizzando run32dll <sample>,#1 non ottengo nulla dall'inizio.

Sto eseguendo un esempio di malware petya scaricato da hybrid-analysis.com

rundll32.exe C:7cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745.bin.dll",#1"

Se osservo l'esempio in PE Explorer, mi viene detto che non è un file exe o una DLL valido.

Qualcuno ha esperienza nell'esecuzione di malware che può aiutare un principiante in questo?

Sono più un tipo di infrastruttura e sistema operativo. Avrei pensato che correre sarebbe stato facile.

Ho allegato il mio progetto di laboratorio sul post. La macchina host è una scatola Ubuntu con 32 GB di ram e un mucchio di processori The Lab è un ambiente VirtualBox. La rete domestica è la via per Internet Virtual Lab - > Sistema host - > Gateway Internet

Qualsiasi aiuto nella risoluzione del mio problema ricevuto con gratitudine.

    
posta twelsh37 14.01.2018 - 11:46
fonte

2 risposte

4

Ho visto un report su questo un po 'di tempo fa, molti ransomware cercheranno di rilevare anche se sono in un ambiente di VM o di laboratorio e rifiuteranno di funzionare troppo, fondamentalmente come un meccanismo di difesa per esattamente quello che stai facendo.

A seconda della famiglia di malware ci sono test nel codice che controllano cose come l'ambiente di visualizzazione (stiamo correndo su Xen? OOOH! Juicy Target! / Stiamo correndo su VMware / VBox? Uh-Oh, potrebbe essere un laboratorio! ABORT!), struttura del file (non molto qui? ABORT! Il file più vecchio è della scorsa settimana? Hmm ... ABORT!) anche cose come più sottoreti (il traffico sta transitando attraverso 192.168.1.1 ma il mio gateway è 10.0. 2.1? ABORT!) Anche le cose come la risoluzione dello schermo possono essere testate (800x600 Res? ABORT!)!

In breve, man mano che i ricercatori diventano più intelligenti su come testano il malware, gli autori di tali malware si adattano per sconfiggere quegli sforzi!

    
risposta data 14.01.2018 - 22:05
fonte
2

Il campione di malware 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 non sembra implementare alcun tipo di rilevamento di sandbox / ambiente. Stai dicendo che non funziona. Quale errore viene visualizzato da rundll32?

Si noti che gli effetti immediati dell'esecuzione del campione 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 sono impercettibili. È scrive silenziosamente in alcune posizioni sul disco e pianifica un riavvio dopo 60 minuti, e solo dopo un'ora inizia tutta la magia oscura.

Controlla se c'è una copia di quella DLL in C: \ Windows \ che non hai creato tu stesso. Se c'è una copia, significa che l'esempio ha iniziato il suo lavoro sporco.

    
risposta data 14.01.2018 - 22:33
fonte

Leggi altre domande sui tag