¿Cómo puedo probar con seguridad el malware en una máquina virtual? [duplicar]

Navega tus respuestas
7

Es probable que esta pregunta se haya preguntado varias veces aquí, pero la haré de manera un poco diferente.

Estoy tratando de aprender sobre el malware y cómo infecta las computadoras y cómo desinfectar una computadora si alguien es atacado. He visto a varias personas usar máquinas virtuales para probar malware (he estado usando VirtualBox durante algunos años) y también he pensado en hacerlo, pero me temo que el malware podría "filtrarse" de la máquina virtual. y arruinar mi computadora host y todas las computadoras en mi red.

Las preguntas que tengo son:

  1. ¿Puedo probar malware en VirtualBox con acceso a Internet dentro de la máquina virtual sin dañar mi computadora host o cualquiera de las otras computadoras en mi red?

  2. Si utilizo una computadora real para probar el malware (tengo una torre de Dell XP adicta a la basura), ¿será suficiente el formateo de las palabras posteriores?

  3. ¿Puede mi torre Dell XP también tener Internet habilitado sin que el malware afecte a mis otras computadoras?

  4. Incluso si no puedo habilitar Internet y usar malware dentro de la VM al mismo tiempo, ¿puede ese malware seguir "saltando" de la VM y atacar mi computadora host?

  5. Ya que también estaré "haciendo bromas" a algunos de esos clichés de estafadores de Windows (bueno, en realidad no es una broma, solo estoy probando formas de que puedan entrar y hacer daño), ¿sería seguro usar una máquina virtual o ¿Puedo incluso usar ese Dell de la chatarra mío?

  6. ¿También será necesario enmascarar mis direcciones IP y MAC para que no se registren y se envíen a quienquiera que pueda recibirlas mientras hago las pruebas de malware?

  7. Si puedo ejecutar malware en forma segura dentro de una VM, ¿qué pasos son necesarios para mantener a salvo mi contenido real?

Si esto ayuda, mi computadora host será una Mac con OS X 10.8.5 o una torre con XP (no mi Dell).

Y el invitado será cualquier sistema operativo, pero principalmente Windows (sí, de más reciente a más antiguo)

Espero haberte explicado esto lo suficientemente bien para ustedes.

Cualquier y toda ayuda será muy apreciada.

¡Gracias!

    
pregunta Terkey-Juice 13.05.2016 - 05:46
fuente

4 respuestas

4

1/3/4/7-Acceso a Internet? No es una buena idea, ya que, dependiendo de lo que haga, su VM podría lanzarlo "al mundo salvaje". Ejecutarlo en una máquina virtual debería estar perfectamente bien si no está conectado a Internet. Esta respuesta de The Bear incluirá muchos más detalles sobre el malware que se escapa de una máquina virtual. Aquí

El formato 2 debería estar bien para el 99% del malware. Algunos pueden atacar a otras áreas distintas del disco duro, así que tenlo en cuenta e investiga con qué estás jugando. Más información aquí

6 - Puedes usar un proxy, pero como Munkeyoto dijo, para analizar adecuadamente, necesitas ver el tráfico.

En cuanto a tu pregunta en los comentarios ... -Sí lo es. No deberías tener ningún problema con solo formatear. Existe un malware extremadamente sofisticado que puede residir si MBR, bios, firmware, pero esto estaría por encima del malware cotidiano. A MENOS QUE tenga dispositivos periféricos conectados (unidad USB, por ejemplo).

    
respondido por el bluerojo 13.05.2016 - 07:35
fuente
3

Su 1) ¿Puedo probar malware en VirtualBox con acceso a Internet dentro de la máquina virtual sin dañar mi computadora host o cualquiera de las otras computadoras en mi red?

No querrías hacerlo. Supongamos que el malware que está analizando está diseñado para dirigirse inmediatamente a un banco o una máquina del gobierno. Usted podría prepararse para enormes responsabilidades. Por un lado de la ecuación, no tener conectividad limita sus resultados. Por ejemplo, al tratar con una variedad de malware basada en C & C, nunca verías nuevos droppers o comandos básicos de C & C.

La solución para esto sería insertar un proxy entre usted y el resto del mundo. Para hacer esto correctamente, lo que tendría que hacer es mirar las conexiones, detener inmediatamente las conexiones, validar su sistema no está haciendo un malicioso conexión, luego cree un permiso para la regla fw de la máquina maliciosa, mientras bloquea otras conexiones. Se vería así: 

You --> run malware
Malware connects to malicious site --> get commands (here you get the address of malicious host)
You --> create a BLOCK ALL fw rule, and then create an ALLOW MALICIOUS RULE

Esto permite que su sistema SOLAMENTE hable con el sistema malicioso. Si intenta lanzar ataques desde su máquina, las reglas de fw lo bloquearían. De manera óptima, usted querría crear rutas falsas. Por ejemplo: 

route add 0.0.0.0/0 10.10.10.10/32

Donde cualquiera y todo el tráfico saliente vaya a un sistema (10.10.10.10/32) donde en esa máquina ejecutaría sus herramientas de análisis de red (Wireshark, Netwitness).

Su 2) Si utilizo una computadora real para probar malware (tengo una torre de Dell XP adicta dando vueltas), ¿será suficiente formatear las palabras clave?

¿Por qué no solo crea y almacena una imagen fantasma, analiza, restaura tu imagen fantasma? El malware basado en BIOS es raro, pero para estar seguro, puede proteger su BIOS con contraseña o ejecutar algo como " regshot " para Seguimiento de los comandos que se realizan. Tal vez incluso flytrap de HB Gary (si todavía está disponible)

Su 3) ¿Puede mi torre Dell XP también tener Internet habilitado sin que el malware afecte a mis otras computadoras?

Nunca podrías saberlo. Algunos programas maliciosos pueden descargar herramientas de explotación (metasploit, etc.) y luego analizar sus hosts internos en busca de vulnerabilidades

Su 4) Incluso si no puedo tener tanto Internet habilitado como usar malware dentro de la VM al mismo tiempo, ¿puede ese malware seguir "saltando" de la VM y atacar mi computadora host?

Esto fue respondido en tus 3

Su 5) Ya que también haré "bromas" a algunos de esos estafadores de Windows (bueno, en realidad no es una broma, solo estoy probando formas de que puedan entrar y hacer daño), ¿sería seguro usar un VM, ¿o incluso puedo usar ese Dell mío no deseado?

Definir "broma". Muchos autores de malware son muy hábiles desde el punto de vista técnico, y el malware común puede determinar si están en un honeypot, ejecutándose en una máquina virtual o si algo está mal. Aparte de eso, muchos autores de malware a menudo están incrustados con el crimen organizado, por lo que podría ser un juego muy peligroso para jugar.

Su 6) ¿También será necesario enmascarar mis direcciones IP y MAC para que no se registren y se envíen a quienquiera que pueda recibirlas mientras hago las pruebas de malware?

No está claro acerca de esta declaración. Definir enmascaramiento de IP. Si / cuando te conectas a un host, necesitas venir de algún lugar. La única solución para obtener los resultados correctos (qué está haciendo el malware) que la máquina necesita para responderle. Podría usar un proxy VPN, pero no hay ningún método para falsificar nada.

Tu 7) Si puedo ejecutar malware de manera segura dentro de una máquina virtual, ¿qué pasos son necesarios para mantener a salvo mis cosas reales?

No analices el malware en la misma red que tus "cosas reales", obtén un enrutador separado y SOLO coloque ese host allí.

    
respondido por el munkeyoto 13.05.2016 - 18:56
fuente
2

El problema que realmente tendrá, cuando use una máquina virtual, es que la mayoría del malware se negará a abrir su carga útil, por lo que no tendrá que investigar mucho. Los investigadores que usan máquinas virtuales para analizar el malware son demasiado comunes, y la mayoría de los programas maliciosos de la actualidad lo previenen activamente buscando pistas de que se está ejecutando en una máquina virtual y permanecen inactivos si los encuentran. Ten en cuenta que si sigues el método virtualizado, probablemente obtendrás resultados diferentes a los de alguien que realiza las mismas pruebas en un sistema de metal puro.

Dicho esto, debería estar bien usando su escritorio con las mismas precauciones: limite todo el acceso a la red, nunca lo conecte a su red local y nunca proporcione acceso a Internet, a menos que esté observando directamente lo que está haciendo con un detector de tráfico. y puede matarlo si comienza a hacer algo malicioso como iniciar un ataque DoS o escanear los puertos de la NSA. Además, no comparta ningún medio (unidades de memoria, etc.) en el sistema después de que se haya implementado el malware. Si desea guardar los archivos para su uso posterior, coloque un anillo de cinta roja en la unidad para asegurarse de que no se mezcle con otros.

    
respondido por el Jeff Meden 13.05.2016 - 18:32
fuente
0

Depende de qué malware: si tiene una buena idea del comportamiento de la variedad de malware que está probando, entonces el acceso a Internet no debería ser un problema. Por supuesto, debe tener la confianza de que ejecutarlo no atacará a los hosts de Internet, por ejemplo, de otros informes acreditados sobre el análisis de malware.

Sin embargo, siempre habrá posibles rupturas de VM, ya sea que se hayan descubierto o no estos errores es otro problema. En general, estaría seguro, especialmente si solo está probando malware que no contiene ningún exploit de VM.

Recientemente instalé una red VMware Fusion para pruebas de Malware. Dependiendo de la variedad de malware, podría configurar Iptables para bloquear el acceso a Internet (aparte de DNS y otros hosts incluidos en la lista blanca), o para permitir el acceso público a Internet. Siempre se prohibió el acceso a direcciones privadas, lo que protegerá su red local contra el tráfico de malware.

Mi topología era la siguiente: 

Host (Mac) <--> Debian running as IP forwarder with Iptables <--> Windows Test machine
                                                              |->  Kali box

La caja de Kali estaba allí, así que también podría ejecutar mis propios ataques personalizados contra la máquina de destino, desde un punto de vista externo.

El sistema Debian tenía dos interfaces de red, lo que permite que la red a la derecha sea configurada sin acceso a la máquina host, ni ningún acceso a la red externa. La red de la izquierda se configuró solo con acceso a Internet y sin acceso de host.

No debe preocuparse por la exposición de los MAC, ya que se trata de una entidad de red de nivel dos, por lo que no tiene nada que ver con la conectividad a Internet de los dispositivos, solo la red local. Por supuesto, si el malware se comunica con algún servicio basado en Internet, su IP estará expuesta a esto, a menos que configure el sistema Debian para VPN o Tor estas conexiones.

El elefante en la sala es que, incluso con un "comportamiento de malware confiable", el malware en cuestión puede descargar ejecutables arbitrarios de su host controlador, por lo que puede hacer algo como atacar sitios web bancarios o intentar salir de la VM. Por lo tanto, si esto es una preocupación, tendría que imitar al host del controlador utilizando otra máquina virtual si realmente analiza el comportamiento del malware y no permite el acceso a Internet por completo.

    
respondido por el SilverlightFox 16.05.2016 - 11:48
fuente

Lea otras preguntas en las etiquetas

¿Es posible la autenticación de dos factores para RDP? ¿Qué es el "reflejo de NAND", la supuesta técnica que usará el FBI para descifrar el iPhone del tirador de San Bernardino?