¿Por qué no puedo ejecutar malware en mi entorno virtual?

Navega tus respuestas
3

Estoy intentando ejecutar algunas muestras de malware en mi laboratorio virtual para capturar sus IOC. Estoy haciendo esto para mi tesis de máster, pero parece que no consigo que se ejecute el malware.

He descargado muestras de análisis híbrido. si intento y ejecuto el malware usando run32dll <sample>,#1 no obtengo nada empezar.

Estoy ejecutando una muestra de malware petya descargada de hybrid-analysis.com 

rundll32.exe C:7cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745.bin.dll",#1"

Si miro la muestra en PE Explorer, me dicen que no es un archivo ejecutable o DLL válido.

¿Alguien tiene alguna experiencia en la ejecución de malware que pueda ayudar a un novato en esto?

Soy más un tipo de infraestructura y sistema operativo. Habría pensado que ejecutar el hubiera sido fácil.

He adjuntado el diseño de mi laboratorio en la publicación. La máquina host es una caja de Ubuntu con 32 GB de RAM y un montón de procesadores El Lab es un entorno VirtualBox. La red doméstica es el camino hacia el laboratorio virtual de Internet - > Sistema host - > Puerta de enlace de Internet

Cualquier ayuda en la resolución de mi problema recibida con gratitud.

    
pregunta twelsh37 14.01.2018 - 11:46
fuente

2 respuestas

4

Hace un tiempo vi un informe sobre esto, muchos ransomewares intentarán también detectar si están en una VM o en un entorno de laboratorio y se negarán a ejecutarse, básicamente como un mecanismo de defensa para exactamente lo que estás haciendo.

Dependiendo de la familia de malware, existen pruebas en el código que comprueban aspectos como el entorno de visualización (¿Estamos ejecutando en Xen? ¡OOOH! Juicy Target! / ¿Estamos ejecutando en VMware / VBox? Uh-Oh, podría ser a Lab! ABORT!), Estructura de archivos (¿No hay mucho aquí? ¿ABORT? ¿El archivo más antiguo es de la semana pasada? Mmm ... ¡ABORT!) también cosas como varias subredes (el tráfico se enruta a través de 192.168.1.1 pero mi puerta de enlace es 10.0. 2.1? ¡ABORT!) Incluso cosas como la resolución de la pantalla se pueden probar (800x600 Res? ABORT!)!

En resumen, a medida que los investigadores se vuelven más inteligentes acerca de cómo prueban el malware, ¡los autores de dicho malware se adaptan para derrotar esos esfuerzos!

    
respondido por el Gartral 14.01.2018 - 22:05
fuente
2

La muestra de malware 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 no parece implementar ningún tipo de detección de entorno de prueba o entorno aislado. Estás diciendo que no se ejecuta. ¿Qué error muestra rundll32?

Tenga en cuenta que los efectos inmediatos de la ejecución de la muestra 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 son sutiles. escribe silenciosamente en algunas ubicaciones en el disco y programa un reinicio después de 60 minutos, y eso es solo después de una hora cuando comienza toda la magia oscura.

Compruebe si hay una copia de esa DLL en C: \ Windows \ que no haya creado usted mismo. Si hay una copia, significa que la muestra ha comenzado su trabajo sucio.

    
respondido por el ximaera 14.01.2018 - 22:33
fuente

Lea otras preguntas en las etiquetas

Problemas de privacidad en redes de igual a igual ¿Cómo puede (cualquiera) averiguar la dirección IP de una sola computadora dentro de la universidad?