Cambiando las tendencias de malware en VM

1

Hace poco vine (no sé, cuando estaba sucediendo) para saber que malwares puede detectar si se están ejecutando dentro de una máquina virtual como Vmware, y por lo tanto puede cambiar su comportamiento.

Entonces, mi pregunta es cómo los individuos de seguridad van a investigar adecuadamente el comportamiento de malware, ya que ejecutarlos en VM podría no ser una buena idea para ese tipo de malwares.

Al ejecutarse en una máquina real (no en una máquina virtual), es posible que pierda algunas entradas de ese malware.

    
pregunta Novice User 13.05.2012 - 16:25
fuente

1 respuesta

2

El concepto al que se refiere es: detección de píldora roja. . Los malos se han dado cuenta del hecho de que los buenos pueden poner fácilmente un malware en una caja de arena virtual para realizar un análisis dinámico, por lo que algunos se basan en la acción de la píldora roja. Para los hipervisores comunes, realizar una comprobación de controlador simple mostrará si el invitado se está ejecutando en vmware, xen u otros hipervisores.

Esto tiene poco impacto en el análisis forense. Cualquier buen investigador forense tendrá recursos para realizar análisis fuera de un entorno de máquina virtual. Simplemente, usar un invitado de VM (es decir, automatización) para realizar análisis forense simplificado de análisis de malware para los buenos. No todo el malware hace detección hoy. Teniendo en cuenta que los malos, por lo general prefieren mantener los paquetes pequeños, incrustar funciones adicionales como la detección vm agrega complejidad adicional al código. Tal detección solo puede estar presente cuando los malos están realmente preocupados por ser detectados. Dado que la mayoría de los paquetes de malware se dirigen a la fruta que cuelga más baja (de la que hay muchos), las funciones adicionales (es decir, el cifrado, la detección de vm, la esteganografía, etc.) realmente no son necesarias. Por lo tanto, los modelos existentes de automatización forense siguen siendo efectivos.

    
respondido por el bangdang 13.05.2012 - 20:53
fuente

Lea otras preguntas en las etiquetas