Recientemente, descargué algunas muestras de malware para la práctica de respuesta a incidentes. Luego los instalé en una máquina invitada de VirtualBox Windows 7, pero no funcionan correctamente.
Deshabilité el antivirus y el firewall pero no están mostrando su comportamiento. Recuerda que no estoy hablando del tráfico de la red del troyano. ¿Qué configuraciones debo habilitar en Windows 7 guest o VirtualBox para realizar mi trabajo?
Si lo entendí bien, estás tratando de infectar deliberadamente tu máquina virtual, pero los malwares que descargaste no parecen funcionar correctamente.
Suponiendo que no intente lanzar malware de 64 bits en una máquina virtual de 32 bits, o malware creado para otra edición o versión de Windows, la causa más probable para mí es que sus malware intenten detectar si se están ejecutando. en una máquina virtual o en una computadora que se usa para el trabajo real, y se deshabilitan para evitar la detección (principalmente para dificultar a las firmas de antivirus detectarlas y estudiarlas).
Como ejemplo, algunos malwares en la naturaleza recientemente se han encontrado para contar documentos de Word en la carpeta del usuario actual; asumen que si este número está cerca de cero, es probable que la computadora sea solo una máquina de prueba y se detengan allí.
En realidad, hay algunos parámetros diferentes que pueden cambiar la forma en que un software (en este caso Malware) funciona en VM, en comparación con una máquina real.
Primero , debe tener confianza en el soporte (x86, x64) y la configuración de la red de la máquina virtual de la forma en que el malware se aísla de la red de su máquina Real, aunque al mismo tiempo el malware se puede conectar a Internet y al servidor CNC. .
En segundo lugar , algunos malwares e incluso productos comerciales siempre verifican el entorno en ejecución y, si se detecta una VM, cambiarán su comportamiento para evitar el análisis. En ingeniería inversa no es tan difícil encontrar controles de VM en el ensamblaje.
Nota final: proporciono información para resolver su problema. pero no podemos darle una solución exacta porque no tenemos detalles sobre su problema.
Lea otras preguntas en las etiquetas virtualization malware incident-analysis