Come conservare gli eseguibili del malware?

Gli hacker di logging dipenderanno in larga misura da come si imposta il sistema honeypot che si descrive. Quali sono i metodi che ti aspetti (o non ti aspetti) che gli aggressori utilizzino per acquisire l'accesso e cosa fanno all'interno del sistema.

In secondo luogo è necessario un metodo per identificare il malware. Quanto a fondo vuoi impostare la registrazione sul sistema operativo dipende da te qui. Puoi registrare molte di cose ... Devi disegnare la linea da qualche parte.

Per quanto riguarda il malware in quarantena per l'analisi, il metodo accettato è archiviarlo o crittografarlo. La comunità professionale preferisce il metodo di crittografia perché solo il ricercatore che lo ha crittografato può decodificarlo (evitando l'intero problema "Hey! Whats in here?" Con gli archivi senza password).

Il malware crittografato può essere trasportato in sicurezza alla macchina di analisi per il debug e l'esame. La macchina di analisi dovrebbe essere una VM. In questo modo una volta completata l'analisi, la VM viene semplicemente rimossa dall'orbita e ripristinata, pronta per il prossimo test. Il motivo per cui lo facciamo in questo modo è evitare di perdere un pezzo di malware da qualche parte e contaminare una successiva analisi.

Spero che questo aiuti!

EDIT:

Ho perso il bit in cui dichiari "congelando il malware prima viene eseguito". Non puoi È possibile utilizzare la stessa euristica e rilevamento dell'antivirus per ottenere malware noti prima dell'esecuzione. Ma poi, è noto. Perché vorresti analizzare questi. Quelli sconosciuti sono, per definizione, sconosciuti. Pertanto non ci sarà un modo affidabile per fermarli. Lo saprai solo dopo il fatto che sono malware.

Penso che un modo migliore per farlo sarebbe quello di sostituire il componente windows7 con una VM nella DMZ, quindi è possibile isolare e crittografare il malware attraverso qualunque metodo si desideri e quindi trasportarlo per l'analisi. Quindi nuke la DMZ VM e sostituiscila con una nuova versione insieme alla tua VM di analisi. In questo modo, si ripristina sempre la stessa configurazione non infetta. Puoi anche attivare l'antivirus nella VM DMZ e impostarlo in quarantena solo nel caso in cui desideri analizzare anche malware noti.

Consiglierei l'ambiente virtuale o un riavvio e ripristinerei software come il deep freeze. È possibile registrare l'esecuzione utilizzando sysinternals o la funzione di registrazione del provider di virtualizzazione. Tieni presente che alcuni malware recenti, in particolare gli ATP, verificano la virtualizzazione prima dell'esecuzione. Affinché un malware possa infettarsi o propagarsi, è necessario un servizio o un software vulnerabili in stato di ascolto. Come pensi che il malware trovi il tuo Honeypot? Per quanto riguarda il traffico di rete, dovrebbe essere sufficiente un semplice syslog. Cerca in giro per gli articoli SANS sulla costruzione di un Honeypot. Spero che questo possa essere d'aiuto. Per favore, fai sapere a tutti che conoscono il tuo progetto finale e la tua esperienza. Infine, invece di disattivare l'antivirus, non sarebbe meglio non averlo installato in primo luogo?