¿Así que tienes un agente activo y quieres examinarlo? ¡Esto va a ser divertido!
Primero, no simplemente conéctalo y mira a tu alrededor. Incluso si tuviera que crear un buscador de "zona de pruebas", eso no lo protegería de un malware potencial. Entonces, ¿cómo ves realmente las mercancías? Bueno, tienes que realizar un examen forense! Esto es lo que necesitarás:
- Una Máquina virtual es crucial para que no infecte su máquina. Asegúrese de configurarlo para que la VM no tenga acceso a la red.
- Un generador de imágenes forense. Uso helix o autopsy suite. FTK Imager funciona bien si tiene una VM de Windows.
- Un Write Blocker para proteger la integridad del dispositivo USB siendo examinado. Esto significa evitar que todas las escrituras en el usb de destino. Esto mantiene un registro prístino del objetivo, pero también evita que algunos tipos de malware se alteren en el dispositivo USB objetivo. Personalmente les digo que utilicen un bloqueador de escritura de hardware porque son más confiables (solo vaya a Amazon y busque uno).
Configure su VM con preferiblemente una distribución de linux (como helix). Ahora, simplemente adjunte el bloqueador de escritura a su PC y configúrelo. Abra su programa de imágenes y finalmente conecte su memoria USB caliente.
Ahora toma una imagen forense de esta unidad, ya sea directamente en la RAM (si tiene la capacidad) o en otra unidad (que no sea del sistema operativo). Puede tomar un tiempo dependiendo de cuán grande sea el objetivo. Una vez que tenga la imagen, puede mirarla de varias maneras utilizando el mismo programa de imágenes (FTK lo hace super simple).
El concepto completo se llama respuesta a incidentes y SANS tiene muchos documentos buenos sobre qué hacer. Aquí hay uno . Además, utilicé este libro para aprender mucho sobre el análisis forense. Conozco a un tipo que toma su CISSP y también lo acaba de terminar, por lo que sigue siendo relevante.
¡Buena suerte y diviértete!
En respuesta a su comentario, el malware puede propagarse sin que usted lo sepa una vez que conecte un dispositivo infectado. La mejor manera de protegerse contra eso es ejecutar el examen en una máquina virtual con un sistema operativo diferente al objetivo. Los diferentes sistemas operativos ayudan a impedir que se ejecute el malware y la máquina virtual actúa como control de daños en caso de que el malware se ejecute y se ejecute de todos modos.
La forma más común y más fácil de propagación de malware de esta manera sería la función de 'reproducción automática', pero si realmente considera lo que está sucediendo detrás de esa función, puede ver que hay ciertos elementos de los medios externos que se cargan en la memoria RAM. > y escrito en el disco duro de su PC (en forma de metadata / logs / etc). Todo * que un atacante tiene que hacer es aprovechar ese vector de amenaza. * esto no es una pequeña hazaña, sin embargo :)
Sin embargo, no todo es pesimismo. Todo lo que tienes que hacer es lanzar una máquina virtual correctamente configurada y, básicamente, has detenido el 99,99% de esa amenaza en particular.