Che cosa ti fa credere che non si stia eseguendo correttamente? Molte varianti di malware hanno controlli e saldi che disabilitano la piena esecuzione se alcuni parametri programmati non sono soddisfatti, ad esempio:
- Controlla se sono virtualizzato, se è così, non eseguire
- Verifica se ho una vera connettività Internet se non non eseguo
- Verifica se posso sfruttare qualsiasi cosa su questa macchina per il corretto
privilegi
Nel primo caso, è possibile modificare qualsiasi traccia di VMWare, Virtualbox, ecc. Nel secondo, ciò può diventare complicato. Se navighi su Virustotal e controlli i campioni, vedrai molti creare connessioni apparentemente assurde con siti legittimi (ad esempio, ping 8.8.8.8 o 8.8.4.4). Potrebbe funzionare in questo modo:
InfectedHost --> do something --> legitimate site
InfectedHost --> check value of what I just did
InfectedHost --> does value match pre-programming? If not die
Quando si usa il DNS è necessario essere prudenti pure. Una volta, tre anni fa, stavo analizzando una variante di SDBot. La variante avrebbe messo "windowsupdate.com" nel file host puntato su un indirizzo falso. Potrebbe fare una connessione beacon:
InfectedHost --> windowsupdate.com
InfectedHost --> give me this update (would never work but return a 404)
Il 404 è ciò che attiverebbe la funzionalità C & C. Il mio suggerimento è di analizzare tutte le attività e dargli ciò che vuole. Nel caso peggiore, crea uno snapshot / fantasma della tua immagine. Lascia che funzioni in una vera rete isolata per un minuto o giù di lì. Bloccalo, analizza il traffico e vai da lì. Tenete a mente, è tutto nella programmazione, quindi potrebbe essere necessario smontarlo anche in IDA. Le istanze di SDBot I analizzate non avrebbero mai iniziato connessioni immediate, avrebbero aspettato fino a tempi diversi, ore sparse, ore dopo un'infezione.