¿Es seguro usar máquinas virtuales cuando se examina malware?

17

Queremos estudiar para el programa CEH y hemos descargado 12 DVD, de los cuales 6 DVD son registradores de clave de software, troyanos, etc., todos ellos detectados por antivirus. Esto nos impide examinarlos y aprender cómo funcionan.

He indicado a los alumnos que no desinstalen el antivirus, ya que la ejecución de estos archivos maliciosos no es segura por sí sola. Incluso podría propagarse en la red.

Uno de los estudiantes sugiere usar modo Windows XP . ¿Es esto seguro? Veo estos artículos 1 y 2 aquí, pero las respuestas son contradictorias y nos confunden .

¿Las máquinas virtuales son seguras para descargar e instalar troyanos, registradores de claves, etc.?

¿Hay otra manera de resolver estos problemas, por ejemplo, configurar un laboratorio, para mostrar lo que sucede a las víctimas del malware?

    
pregunta saber tabatabaee yazdi 01.11.2012 - 07:07
fuente

7 respuestas

2

¿Por qué no ejecutarlo en un contenedor?

Puede seleccionar una multitud de imágenes, preparar el entorno para un solo malware adjuntando herramientas de supervisión / scripts que lo aborden específicamente.

El nivel de seguridad para proteger su máquina, que sea físico o virtual, dependerá del aislamiento que especifique de antemano para el contenedor.

Con contenedores que se vuelven aún más claros a medida que tiene más visibilidad sobre lo que está afectando el malware, ya que puede hacer que n combinaciones de sistemas se activen fácilmente.

Es posible que también desee analizar el comportamiento de este tipo de malware dentro de una red. Simplemente aísle múltiples contenedores con su propia red dentro de un recinto de seguridad de red y asegúrese de que este último esté completamente separado de su máquina host.

Para el aislamiento de hardware durante dichas inspecciones, puede utilizar hardware de Pi's o cualquier otro barato.

Todo se reduce a permitir que el malware se comporte como lo haría en una computadora normal y aislarlo completamente del exterior como ya apuntaron otros.

    
respondido por el Alan 12.07.2018 - 14:37
fuente
28

¿Las máquinas virtuales son seguras para esto? La respuesta es la misma que para muchas preguntas del formulario "¿Es X seguro?": No, no es absolutamente seguro.

Como se describe en otra parte, los errores en la máquina virtual o la configuración deficiente a veces pueden permitir que el malware se escape. Por lo tanto, al menos en principio, el malware sofisticado podría potencialmente detectar que se está ejecutando en una VM y (si su VM tiene una vulnerabilidad o una configuración deficiente) aprovechar la vulnerabilidad o la configuración incorrecta para escapar de su VM.

No obstante, es bastante bueno. Probablemente, la mayoría del malware que se encuentre en el campo no tendrá un código especial para escapar de una máquina virtual.

¡Y ejecutar el malware en una máquina virtual es ciertamente más seguro que instalarlo directamente en su máquina de trabajo diaria!

Probablemente el mayor problema con el análisis de muestras de malware en una máquina virtual es que algunos autores de malware están empezando a ser inteligentes y están escribiendo su malware para que pueda detectar cuándo se ejecuta en una VM y se apaga cuando se ejecuta dentro de una VM. Eso significa que no podrá analizar el comportamiento malicioso, ya que no se comportará de forma maliciosa cuando se ejecuta dentro de una máquina virtual.

¿Qué alternativas hay? Puede configurar una máquina de sacrificio en una máquina local, instalar el malware allí y luego limpiarla. Dicha red de prueba debe configurarse con mucho cuidado , para garantizar que el malware no pueda propagarse, no pueda propagarse a otras máquinas suyas y no pueda hacer daño a otras personas.

Referencias:

respondido por el D.W. 02.11.2012 - 08:25
fuente
19

Utilizar una máquina virtual es una forma más segura de estudiar el malware que ejecutarlo en una máquina normal, la principal razón es que puede borrar y volver a empezar desde una imagen nueva conocida en cualquier momento.

Sin embargo,

el aislamiento también es clave: si sus máquinas virtuales están conectadas a su red, podrán propagar el malware como si fueran máquinas físicas, por lo tanto, se aíslan lógicamente (dentro del host) o físicamente (se desconectan de la red) )

    
respondido por el Rory Alsop 01.11.2012 - 08:51
fuente
12

He visto suficiente información tangencial para creer que algunos virus son capaces en estos días de detectar que están en una máquina virtual y alterar su comportamiento en consecuencia. El ejemplo que escuché es que el código aparecerá benigno en la máquina virtual y luego se reactivará e infiltrará cuando no esté en una máquina virtual.

Mi recomendación siempre que quieras probar el malware es jugar en una sala limpia con equipo desechable. No confíe en que la máquina virtual sea su barrera: ejecútela en un laboratorio donde cualquier red que proporcione es completamente independiente, no está conectada a nada más. Asegúrese de que cualquier memoria extraíble (USB, etc.) que use sea solo una forma del mundo exterior y, cuando haya terminado, limpie y vuelva a crear imágenes de las computadoras que usó para las pruebas. Devuelva todo a un estado bueno conocido, no intente limpiarlo manualmente.

Con el propósito de estudiar, probablemente sería muy divertido probar los virus tanto en una máquina con una máquina virtual como en un anfitrión normal. Probablemente también pondría algo de monitoreo de red allí, para ver qué intenta hacer el software a través de la red.

    
respondido por el bethlakshmi 01.11.2012 - 22:32
fuente
8

No intentaría perder el tiempo con el "modo XP" como método para aislar el malware. Una máquina virtual es tu mejor apuesta. El sistema operativo invitado estará aislado del sistema host, por lo que se instalará en la VM y hará su trabajo desagradable, y podrá volver a una instantánea limpia cuando haya terminado.

    
respondido por el Polynomial 01.11.2012 - 07:49
fuente
2

Creo que no tenemos que ser más inteligentes como realmente lo son los buenos profesores. Mark Russinovich suele utilizar máquinas virtuales para analizar el comportamiento de un código. Por supuesto, esto no significa que no tenga que tener cuidado, aísle la máquina virtual en la medida de lo posible (configuración de firewall, etc.).

    
respondido por el sh4d0w 02.11.2012 - 00:14
fuente
1

Para agregar a las maravillosas respuestas dadas por otros, y para agregar mi propia experiencia a ella

Ninguna máquina virtual es "segura" para su propósito, como ya ha sido elaborado por @bethlakshmi.
 También hago algún tipo de experimentos relacionados con la seguridad, por lo que solicité a mis autoridades que me proporcionaran una LAN independiente que esté desconectada del resto de la red en mi universidad.

Lo que obtuve fue una VLAN que se desconecta del resto de nuestra red, y hago todos mis experimentos en máquinas virtuales en esa red (lo que, de nuevo, no es la mejor opción: una simple búsqueda en este sitio le revelará que las VLAN no son realmente una "seguridad"; consulte aquí ). Parece que lo mejor es tener una red desconectada del resto de la red o simplemente no conectar las máquinas virtuales a una red y mantenerlas aisladas.

Agregando al comentario por @Legolas -
 Y seguramente, manténgase alejado de cualquier cosa que provenga de / respaldada por la comunidad de sombrero negro. Para mi contexto, puedo hablar de una herramienta llamada Havij, que no está segura de las cosas en su contexto. Cuando se trata de software malicioso y cosas por el estilo, ¡nunca hace lo que va a hacer aparte de lo que dice hacer!

    
respondido por el pnp 02.11.2012 - 15:42
fuente

Lea otras preguntas en las etiquetas