Sandbox inversa

1

A quanto ho capito, una sandbox è un ambiente isolato su una macchina, utilizzata per raccogliere informazioni su una minaccia o per testarla direttamente. Questo è fatto in modo che la minaccia non possa danneggiare nulla, una volta che hai finito cancelli quell'ambiente isolato, molto probabilmente una macchina virtuale e sei al sicuro.

L'obiettivo principale è che sei isolato, quindi non sei a rischio per ciò che hai fuori dalla sandbox.

Mi chiedevo se c'è qualcosa di simile alla sandbox (come un ambiente hardened con strumenti di test interni) per testare in sicurezza cosa succede sul tuo computer (che non è assolutamente sicuro, e che non puoi assolutamente permetterti di resettare) dal tuo proprio computer? Come non lo so, una sorta di partizione accessibile a malapena dall'ambiente di lavoro principale, che non può essere infettata facilmente e che è possibile utilizzare per risolvere ciò che accade nella sessione utente principale ogni volta che succede qualcosa di sbagliato?

Se esiste qualcosa del genere, come si chiama?

    
posta Kaël 01.09.2017 - 10:16
fonte

2 risposte

3

Forse stai parlando di Jail (freeBSD). O Chroot (OpenBSD)

Esiste una versione port di Jail / Chroot per Windows chiamata winjail

Ho usato Chroot per l'analisi dinamica del codice Malware campione . Avevo bisogno di prove, tracce e voci di registro per la spedizione di alcune bozze di concetto o firme personalizzate.

  • Il fatto è che ero al 100% sicuro di quale sarebbe l'impatto di quelle linee dannose sul sistema, attraverso una precedente analisi statica.

  • Mai e poi mai esegui un malware completo (file PE o programma compilato / compresso) all'esterno di una sandbox completamente isolata.

  • Non ti consiglio di utilizzare il jail per l'analisi campione del malware finché non sei 100% sicuro di ciò che stai facendo, il 95% è non abbastanza .

Nel caso in cui non sei riuscito a convincere te e tu vuoi ancora eseguire cose dannose al di fuori di una sandbox:

  • cattura uno snapshot (incluso il dump della RAM), memorizzalo su un dispositivo esterno.

  • Rimuovi il dispositivo esterno.

  • Fisicamente isola il computer (l'isolamento del software non è sufficiente) & scollega tutti i dispositivi USB se possibile.

  • Fai le tue cose.

  • Ripristina lo snapshot una volta terminato.

risposta data 01.09.2017 - 11:27
fonte
1

Stai descrivendo sia la sandboxing che l'analisi forense.

La cosa più vicina a una soluzione è usare qualcosa come Cuckoo. Fornisci un'immagine virtuale del tuo computer così com'è (usando uno strumento come VMWare vCenter Converter), dando una replica virtuale del tuo ambiente operativo, poi esplodi il tuo payload del malware / applicazione discutibile e Cuckoo aggancia tutte le API di Windows e chiamate in rete e ti dice tutto ciò che il malware ha cercato di fare.

    
risposta data 01.09.2017 - 19:37
fonte

Leggi altre domande sui tag