¿Cómo almacenar ejecutables de malware?

Los atacantes de registro dependerán en gran medida de cómo configure el sistema honeypot que describe. Qué métodos esperas (o no esperas) que usen los atacantes para obtener acceso y qué hacen dentro del sistema allí.

En segundo lugar, necesitará un método de identificación de malware. La profundidad con la que desea configurar el registro en el sistema operativo depende de usted aquí. Puedes registrar mucho de cosas ... Tienes que dibujar la línea en algún lugar.

En cuanto a poner en cuarentena el malware para análisis, el método aceptado es archivarlo o cifrarlo. La comunidad profesional prefiere el método de cifrado porque solo el investigador que lo cifró puede descifrarlo (evitando todo el problema de "¡Hey! ¿Qué hay aquí?" Con archivos sin contraseña).

El malware encriptado se puede transportar de manera segura a la máquina de análisis para la depuración y el examen. La máquina de análisis debe ser una máquina virtual. De esta manera, una vez que se completa el análisis, la máquina virtual simplemente se elimina de la órbita y se restaura, lista para la siguiente prueba. La razón por la que lo hacemos de esta manera es para evitar perder un malware en algún lugar y contaminar un análisis posterior.

Espero que esto ayude!

EDITAR:

Me perdí el bit en el que declaras "la congelación del malware antes se ejecuta". Usted no puede Puede usar la misma heurística y detección que el antivirus para obtener malware conocido antes de que se ejecute. Pero entonces, se sabe. ¿Por qué querrías analizar esto? Los desconocidos son, por definición, desconocidos. Por lo tanto, no habrá una manera confiable de detenerlos. Solo lo sabrás después de que sean malware.

Creo que una mejor manera de hacerlo sería reemplazar el componente de windows7 con una VM en la DMZ, luego puede aislar y cifrar el malware mediante el método que desee y luego transportarlo para su análisis. Luego presione la máquina virtual DMZ y reemplácela con una versión nueva junto con su máquina virtual de análisis. De esta manera, siempre se vuelve a la misma configuración no infectada. También puede activar el antivirus en la máquina virtual de DMZ y configurarlo para ponerlo solo en cuarentena en el caso de que desee analizar también el malware conocido.

Recomendaría un entorno virtual o reiniciar y restaurar un software como congelación profunda. Puede grabar la ejecución utilizando sysinternals o la facilidad de grabación de su proveedor de virtualización. Tenga en cuenta que ciertos programas maliciosos recientes, especialmente los ATP, comprueban la virtualización antes de ejecutar. Para que un malware infecte o se propague, necesitará un servicio o software vulnerable en estado de escucha. ¿Cómo planeas que el malware encuentre tu Honeypot? En cuanto al tráfico de la red, un simple syslog debería ser suficiente. Busca artículos de SANS sobre la construcción de un Honeypot. Espero que esto ayude. Por favor, hágales saber a todos que conocen su diseño final y la Implementación. Por último, en lugar de desactivar el antivirus, ¿no sería mejor no tenerlo instalado en primer lugar?