¿Cuál es la mejor manera de obtener y enviar de forma segura una muestra de malware para su análisis?

4

Recibimos muchos correos electrónicos de spam / phishing con archivos adjuntos sospechosos y me gustaría saber cuál es la mejor forma de enviar esto para su análisis sin infectar su propio sistema.

Actualmente guardo el archivo localmente y luego lo subo a un sitio como virustotal, malwr.com o mcafee. Pero siento que su posible malware puede ejecutarse basado en copiar y pegar. Por favor ayuda

    
pregunta Sola Del 03.08.2016 - 21:37
fuente

2 respuestas

2

No creo que deba preocuparse por el malware que se ejecuta desde el portapapeles, a menos que esté pegando manualmente los comandos en un archivo adjunto en su terminal.

Supongo que podrían intentar leer / escribir en el portapapeles a través de algún navegador, consulte aquí enlace

En una nota más seria, una regla general de oro cuando se trata de malware es hacerlo en un entorno aislado, como dentro de una máquina virtual con acceso limitado a su host, y si tiene una conexión a internet, tal vez agregue reglas de firewall para que solo pueda conectarse a un sitio web de análisis de lista blanca.

Una de mis escenas favoritas de "piratería" en cualquier película fue en la película de Bond, Skyfall. En la película, el joven y (aparentemente) tonto Q decide que es perfectamente seguro conectar la computadora portátil del villano Raoul Silva a la red del MI6 con una conexión directa a su máquina de trabajo personal. Y luego se preguntaron por qué Silva fue capaz de piratearlos en primer lugar ...

Como probablemente haya descubierto, siempre que esté tratando con un objeto extraño en una red, la mejor manera de hacerlo es mantenerlo en cuarentena. Depende de usted, ya sea ignorar los correos electrónicos no deseados o intentar abrirlos en un entorno virtual. Personalmente, optaría por el primero.

    
respondido por el Verbal Kint 03.08.2016 - 21:46
fuente
1

La mejor manera sería usar una máquina virtual de Linux con entorno de escritorio.

Inicia sesión de forma remota con Windows / Linux X2GO Client a través de SSH en el escritorio de XFCE Fedora (funciona mejor con X2GO), donde puedes tener Google Chrome o Firefox para cargarlo.

Si usa Fedora, puede mantener SELinux activado, y también usar la utilidad sandbox para, por ejemplo. Firefox para evitar que acceda a ninguna otra ubicación que no sea una carpeta dedicada.

Simplemente sigues teniendo actualizaciones y volviendo a crear usuarios de vez en cuando. Hacerlo en un sistema Windows sin software AV es altamente riesgoso. Con Linux es mucho menos riesgoso. En Windows, un error puede causar problemas en su propio escritorio. La máquina virtual puede ser reinstalada. Es más difícil instalar Windows como máquina virtual debido a problemas de licencia (en ocasiones, es posible que tenga alguna licencia gratuita en Hyper-V).

Puedes crear dicha máquina virtual de muchas maneras:

  1. Servidor en la nube bajo demanda en AWS o similar con Fedora, incluso un VPS barato lo haría, sin embargo, este puede exponer sus secretos corporativos a terceros.
  2. VMWare corporativo, Xen o KVM
  3. Hyper-V en Windows 10
  4. VirtualBox en Windows7 (aunque es la peor opción, ya que va a engrosar su escritorio)

Con X2GO puede conectarse de forma segura a este y trabajar con el entorno de escritorio. Incluso puede configurar el cliente de correo electrónico en él y, dado que no es Outlook, también es mucho más seguro.

    
respondido por el Aria 03.08.2016 - 21:49
fuente

Lea otras preguntas en las etiquetas