¿Descargar archivos sospechosos en cuarentena?

5

¿Existen herramientas o métodos disponibles para descargar un archivo sospechoso para su análisis sin tener que preocuparse por estar infectado?

    
pregunta m4ck 20.10.2011 - 20:16
fuente

1 respuesta

8

La descarga en una cuarentena de estilo AV generalmente implica que el archivo está codificado o cifrado de alguna manera para deshabilitar completamente cualquier capacidad que pueda tener para atacar el sistema operativo a través de una explotación de metadatos o una ejecución accidental. Esto, sin embargo, anularía su capacidad para analizar el archivo.

Las máquinas virtuales son probablemente tu mejor apuesta. Siempre que deshabilite ciertos mecanismos de uso compartido que a menudo se incluyen como características predeterminadas con los productos de VM (por ejemplo, el uso compartido de directorios), el aislamiento debería ser muy bueno.

Aquí está mi procedimiento habitual, dentro de una VM:

  1. Asegúrese de que se hayan eliminado todas las herramientas de configuración (por ejemplo, VMWare Tools) que están instaladas en la máquina virtual. El malware puede aprovechar estos para habilitar ciertas funciones de uso compartido.
  2. Descargue el archivo a un directorio utilizando wget o una alternativa, sin tener ese directorio abierto en ningún tipo de navegador (por ejemplo, el Explorador de Windows). Si dicha ventana estuviera abierta, los metadatos se pueden leer del archivo.
  3. Vaya a la configuración de la máquina virtual y deshabilite la tarjeta de red y todo el hardware innecesario.
  4. Tome una instantánea de la máquina virtual en caso de que el malware destruya la máquina.
  5. Comience el análisis y escriba sus hallazgos en el sistema operativo host para que no tenga que interrumpir la cuarentena para exportarlos. Si tiene que exportar algo, es mucho más seguro habilitar el uso compartido del portapapeles que habilitar la tarjeta de red y cargar el archivo en algún lugar.

Si puede usar una máquina dedicada para este trabajo, siempre es aconsejable hacerlo. Le permite configurar un firewall en el host que limita el tráfico saliente de la máquina virtual, sin el peligro de que el malware lo desactive. También permite una contención más fácil en caso de que suceda algo malo.

Por supuesto, la solución más segura sería analizar cualquier archivo ejecutable en una plataforma que no los admita, por ejemplo. Analizar malware de Windows en Linux. Sin embargo, puede ser más difícil encontrar buenas herramientas de análisis.

    
respondido por el Polynomial 20.10.2011 - 20:45
fuente

Lea otras preguntas en las etiquetas