強化VMマルウェア分析用
Malware Research/Malware Analysisから始めます。動的分析(マルウェアの爆発)に取り組む前に、第2章でこれに触れた「マルウェア分析の実践ガイド」という本を読んでいます。ただし、仮想化アプローチの2つのオプションについては触れています。
ネットワークアダプターをホストのみに設定します。そうすることで、VM=ネットワークから分離されますが、ホスト経由でアクセスできます-動作はわかりません。
1つVMがサービス用に設定され、もう1つが分析用に設定され、両方が同じカスタムVMNetに結合されているマルチVMセットアップ。
私の問題は、これを行う方法について段階的な説明がないことです。ここで回答を得たいと思っています。私の最も奇妙な質問は次のとおりです:ネットワークアダプターをホストのみに設定していますかVM?を分離するために行う唯一のこと)==
Googleがこれに言及した多くのサイト(およびスナップショットの作成など)。ありがとう。
ネットワークアダプターをホストのみに設定しても、マルウェアは実際には分離されません。マルウェアは、ホストのみのネットワークを介してホストに拡散し、その後、ホストからネットワークの他の部分に拡散する可能性があります。またはインターネットに。 (これは、よくあることですが、ホストが通常のネットワーク接続を持っていることを前提としています。)これは推奨されません。そもそも彼らが提案したことに驚いています。
マルウェアに通常の内部ネットワークやインターネットに拡散する手段を与えることは避けてください。
カスタムネットワーク(またはVLAN)の作成が理想的です。ほとんどのハイパーバイザーでは、ホストとゲスト間でディレクトリ/フォルダーをマップできるため、ファイルをその方法で転送できます。 2つのVMを作成します。1つは「テスト」VMでペイロードに対して実行し、もう1つは「ツール」VMで分析ツールを実行してデータを転送します。
"test" VMは、好きなだけ安全ではない場合があり、一部のペイロードが機能するためには、非常に安全でない場合があります。 「ツール」VMは比較的強化する必要があります。 「テスト」VMとは別のOSにすることを好む人もいます。
FlareVMは良い出発点です。
- https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html
- https://github.com/fireeye/flare-vm
また、サンドボックス環境で実行されていることをマルウェアが検出しないように、強化されたVirtualboxを作成してください。
ここが良い出発点です:
また、偽のネットワークをセットアップして、マルウェアが実際に公開することなく、実際のネットワークと同じように動作するようにすることもできます。
ここが良い出発点です: