it-swarm.com.de

Ist es sicher, virtuelle Maschinen bei der Untersuchung von Malware zu verwenden?

Wir möchten für das CEH-Programm studieren und haben 12 DVDs heruntergeladen, von denen 6 DVD-Software-Key-Logger, Trojaner usw. sind, die alle von Antivirus erkannt werden. Dies hindert uns daran, sie zu untersuchen und zu lernen, wie sie funktionieren.

Ich habe die Schüler angewiesen, Antivirus nicht zu deinstallieren, da das Ausführen dieser schädlichen Dateien für sich genommen nicht sicher ist. Es könnte sich sogar im Netzwerk verbreiten.

Einer der Schüler schlägt vor, Windows XP Modus zu verwenden. Ist das sicher? Ich sehe diese Artikel 1 und 2 hier aber die Antworten sind widersprüchlich und verwirren uns.

Sind virtuelle Maschinen sicher zum Herunterladen und Installieren von Trojanern, Key-Loggern usw.?

Gibt es einen anderen Weg, um diese Probleme zu lösen, z. ein Labor einrichten, um zu zeigen, was mit Opfern der Malware passiert?

Sind virtuelle Maschinen dafür sicher? Die Antwort ist die gleiche wie bei vielen Fragen der Form "Ist X sicher?": Nein, es ist nicht absolut sicher.

Wie an anderer Stelle beschrieben, können Fehler in der virtuellen Maschine oder eine schlechte Konfiguration manchmal das Entweichen der Malware ermöglichen. Zumindest im Prinzip kann hochentwickelte Malware möglicherweise erkennen, dass sie in einem VM ausgeführt wird, und (wenn Ihr VM eine Sicherheitsanfälligkeit oder eine schlechte Konfiguration aufweist) die Sicherheitsanfälligkeit ausnutzen oder ausnutzen Fehlkonfiguration, um von Ihrer VM zu entkommen.

Trotzdem ist es ziemlich gut. Wahrscheinlich haben die meisten Malware, auf die Sie im Feld stoßen, keinen speziellen Code, um von einer VM zu entkommen.

Und das Ausführen der Malware in einem VM ist sicherlich viel sicherer als die direkte Installation auf Ihrem täglichen Arbeitscomputer!

Das wahrscheinlich größte Problem bei der Analyse von Malware-Beispielen in einer VM ist, dass einige Malware-Autoren langsam schlau werden und ihre Malware so schreiben, dass sie erkennen kann, wann sie in einer VM ausgeführt wird. und herunterfahren, wenn Sie in einer VM ausgeführt werden. Das bedeutet, dass Sie das böswillige Verhalten nicht analysieren können, da es sich nicht böswillig verhält, wenn es in einer VM ausgeführt wird.

Welche Alternativen gibt es? Sie können einen Opfercomputer auf einem lokalen Computer einrichten, die Malware dort installieren und dann sauber wischen. Ein solches Testnetzwerk muss äußerst sorgfältig eingerichtet werden , um sicherzustellen, dass sich die Malware nicht verbreiten kann, sich nicht auf andere Computer von Ihnen ausbreiten kann und kann anderen keinen Schaden zufügen.

Verweise:

29
D.W.

Die Verwendung einer virtuellen Maschine ist eine sicherere Methode zum Studieren von Malware als die Ausführung auf einer normalen Maschine. Der Hauptgrund dafür ist, dass Sie jederzeit ein bekanntes neues Image löschen und neu starten können.

Isolation ist jedoch auch der Schlüssel - wenn Ihre virtuellen Maschinen mit Ihrem Netzwerk verbunden sind, können sie Malware so verbreiten, als wären sie physische Maschinen. Isolieren Sie sie also entweder logisch (innerhalb des Hosts) oder physisch (vom Netzwerk trennen).

19
Rory Alsop

Ich habe genug tangentiale Informationen gesehen, um zu glauben, dass einige Viren heutzutage in der Lage sind, zu erkennen, dass sie sich auf einer virtuellen Maschine befinden, und ihr Verhalten entsprechend zu ändern. Das Beispiel, das ich gehört habe, ist, dass der Code in der VM] harmlos erscheint und dann reaktiviert und infiltriert wird, wenn er sich nicht in einer VM befindet.

Meine Empfehlung, wann immer Sie Malware testen möchten, ist, in einem Reinraum mit Einweggeräten zu spielen. Vertrauen Sie nicht darauf, dass VM) Ihre Barriere ist - führen Sie es in einem Labor aus, in dem jedes von Ihnen bereitgestellte Netzwerk vollständig eigenständig und mit nichts anderem verbunden ist. Stellen Sie sicher, dass Sie über einen austauschbaren Speicher (USBs usw.) verfügen Die Verwendung ist nur von der Außenwelt möglich. Wenn Sie fertig sind, löschen Sie die Computer, die Sie zum Testen verwendet haben, und stellen Sie sie neu dar. Bringen Sie alles wieder in einen bekannten Zustand. Versuchen Sie nicht, manuell zu bereinigen.

Zum Zweck des Studiums würde es wahrscheinlich ziemlich viel Spaß machen, die Viren sowohl auf einem Computer mit einer VM als auch auf einem normalen Bare-Bones-Host zu testen. Ich würde dort wahrscheinlich auch eine Netzwerküberwachung durchführen, um zu sehen, was die Software über das Netzwerk versucht.

13
bethlakshmi

Ich würde nicht versuchen, mit dem "XP-Modus" herumzuspielen, um Malware zu isolieren. Eine virtuelle Maschine ist die beste Wahl. Das Gastbetriebssystem wird vom Host-System isoliert, sodass es auf der VM] installiert wird und seine bösen Aufgaben erledigt. Wenn Sie fertig sind, können Sie es einfach wieder in einen sauberen Snapshot zurücksetzen .

9
Polynomial

Warum nicht in einem Container laufen lassen?

Sie können eine Vielzahl von Bildern auswählen und die Umgebung auf eine einzelne Malware vorbereiten, indem Sie Überwachungstools/Skripte anhängen, die speziell auf diese ausgerichtet sind.

Die Sicherheitsstufe zum Schutz Ihrer Maschine, die physisch oder virtuell ist, hängt von der Isolation ab, die Sie zuvor für den Container angegeben haben.

Mit Containern, die noch deutlicher werden, da Sie mehr Einblick in die Auswirkungen der Malware haben, da n Kombinationen von Systemen problemlos hochgefahren werden können.

Möglicherweise möchten Sie auch das Verhalten solcher Malware in einem Netzwerk analysieren. Isolieren Sie einfach mehrere Container mit ihrem eigenen Netzwerk in einer Netzwerksandbox und stellen Sie sicher, dass diese vollständig von Ihrem Host-Computer getrennt ist.

Für die Hardware-Isolierung während solcher Inspektionen können Sie PIs oder jede billige Hardware verwenden.

Es kommt wirklich darauf an, zuzulassen, dass sich die Malware wie auf einem normalen Computer verhält, und sie vollständig von außen zu isolieren, wie andere bereits gezeigt haben.

3
Alan

Ich denke, wir müssen nicht klüger sein als wirklich gute Professoren. Mark Russinovich verwendet normalerweise virtuelle Maschinen, um ein Codeverhalten zu analysieren. Dies bedeutet natürlich nicht, dass Sie nicht vorsichtig sein müssen, sondern die virtuelle Maschine so weit wie möglich isolieren müssen (Firewall-Einstellungen usw.).

2
sh4d0w

Meine Art, Malware zu testen, besteht darin, Folgendes zu installieren:

Host-PC

  • Sandbox-Software (wie Sandboxie)

  • Virtuelle Maschine (wie VirtualBox oder VMware)

  • Ein zusätzlicher AV (wie Avast oder MalwareBytes)

Gast-PC

  • Sandboxing Software

()

Nachdem Sie alles erhalten haben, sandboxen Sie die virtuelle Maschine (auf dem Host-PC) und aktivieren Sie AV

Öffnen Sie nach dem Öffnen Ihrer virtuellen Maschine alle Viren in der Sandbox.

To Go Die Extrameile

Sie können eine VM in einer VM und eine Sandbox installieren, beachten Sie jedoch, dass hierfür ein sehr starker PC erforderlich ist.

1

Um die wunderbaren Antworten anderer zu ergänzen und meine eigene Erfahrung hinzuzufügen -

Keine virtuellen Maschinen sind für Ihren Zweck nicht "sicher", wie bereits von @bethlakshmi ausgearbeitet wurde.
Ich mache auch einige sicherheitsrelevante Experimente und bat meine Behörden, mir ein separates LAN zu geben, das vom Rest des Netzwerks an meiner Universität getrennt ist.

Am Ende bekam ich ein VLAN, das vom Rest unseres Netzwerks getrennt ist - und ich mache alle meine Experimente mit virtuellen Maschinen in diesem Netzwerk (was wiederum nicht die beste Option ist - Eine einfache Suche auf dieser Website zeigt Ihnen, dass VLANs keine wirkliche "Sicherheit" sind - siehe hier ). Ihre beste Wahl scheint also zu sein, entweder ein Netzwerk zu haben, das vom Rest des Netzwerks getrennt ist Ihr Netzwerk oder verbinden Sie die VMs einfach nicht mit einem Netzwerk und halten Sie sie isoliert.

Hinzufügen zum Kommentar von @Legolas -
Und halten Sie sich sicher von Dingen fern, die von der Black-Hat-Community stammen/von ihr unterstützt werden. Für meinen Kontext kann ich von einem Tool namens Havij erzählen - nicht sicher, was in Ihrem Kontext passiert. Wenn Sie mit Malware und ähnlichen Dingen zu tun haben, wissen Sie nie, was alles tun wird, außer was es behauptet zu tun!

1
pnp