マルウェアを調べるときに仮想マシンを使用しても安全ですか？

Question

CEHプログラムについて調査したいと思います。12枚のDVDをダウンロードしました。6枚のDVDは、ソフトウェアキーロガー、トロイの木馬などであり、すべてアンチウイルスによって検出されます。これにより、私たちはそれらを調べて、それらがどのように機能するかを知ることができなくなります。

これらの悪意のあるファイルを実行するだけでは安全ではないため、アンチウイルスをアンインストールしないように生徒に指示しました。ネットワーク上で広がる可能性もあります。

学生の1人が Windows XP mode を使用することを推奨しています。これは安全ですか？これらの記事を参照してください 1 および 2 ここですが、答えは矛盾しており、私たちを混乱させます。

仮想マシンは、トロイの木馬、キーロガーなどをダウンロードしてインストールしても安全ですか？

この問題を解決する別の方法はありますか？マルウェアの被害者に何が起こるかを示すために、ラボを設定しますか？

D.W. · Accepted Answer

仮想マシンはこれに対して安全ですか？答えは、「Xは安全ですか？」という形式の多くの質問と同じです。いいえ、完全に安全ではありません。

他の場所で説明されているように、仮想マシンのバグまたは不適切な構成により、マルウェアが回避できる場合があります。したがって、少なくとも原則として、洗練されたマルウェアはVMで実行されていることを検出でき、（VMに脆弱性または不適切な設定がある場合）脆弱性を悪用するか、 VMからエスケープするための設定ミス。

それにもかかわらず、それはかなり良いです。おそらく、フィールドで遭遇するmostマルウェアには、VMから逃れるための特別なコードはありません。

マルウェアをVMで実行することは、日常の作業マシンに直接インストールするよりもはるかに安全です。

おそらくVMでマルウェアサンプルを分析する際の最大の問題は、一部のマルウェア作成者がスマートになり始めており、VMで実行されたときに検出できるようにマルウェアを作成していることです。 VM内で実行中はシャットダウンします。つまり、VM内で実行されると悪意のある動作を行わないため、悪意のある動作を分析することはできません。

どのような選択肢がありますか？ローカルマシンに犠牲マシンをセットアップし、そこにマルウェアをインストールしてから、それを完全に消去することができます。このようなテストネットワークは、マルウェアが繁殖したり、他のマシンに拡散したりしないように非常に注意深く設定する必要があります。他人に害を及ぼすことはできません。

参照：

マルウェアをVMにインストールしても安全ですか（概要：「単純な答えはありません」。いくつかのリスクがあります）
仮想マシンは本当に安全ですか？誤ったセキュリティの感覚ですか？（要約：マルウェアがVMから逃れることを可能にするリスクがいくつかあります）
仮想マシンはマルウェアによる被害を防止しますか？（概要：マルウェアがVMを回避できるようにする脆弱性が時々あります）

Rory Alsop · Answer

仮想マシンを使用することは、通常のマシンで実行するよりもマルウェアを研究するためのより安全な方法です。主な理由は、いつでもワイプして既知の新しいイメージからやり直すことができるためです。

ただし、分離も重要です。仮想マシンがネットワークに接続されている場合は、物理マシンと同じようにマルウェアを拡散させることができるため、論理的に（ホスト内で）分離するか、物理的に（ネットワークから切断して）分離します。

bethlakshmi · Answer

最近、一部のウイルスが仮想マシン上にあることを検出し、それに応じて動作を変更できると信じるのに十分な接線情報を確認しました。私が聞いた例は、コードがVMで無害に表示され、VM内にない場合に再アクティブ化して浸透するというものです。

マルウェアをテストしたいときはいつでも、使い捨て機器のあるクリーンルームで遊ぶことをお勧めします。 VMがあなたの障壁となることを信頼しないでください。提供するネットワークが完全にスタンドアロンで、他のものに接続されていないラボで実行してください。リムーバブルメモリ（USBなど）が使用は外界からのみの一方向であり、完了したら、テストに使用したコンピューターをワイプしてイメージを再作成します。すべてを既知の良好な状態に戻し、手動でクリーンアップしないでください。

調査の目的で、vMを備えたマシンと通常のベアボーンホストの両方でウイルスを試すのは、おそらく非常に楽しいでしょう。私はおそらくそこにもいくつかのネットワーク監視を投げて、ソフトウェアがネットワークを介して何をしようとするかを確認します。

Polynomial · Answer

マルウェアを分離する方法として「XPモード」をいじってみませんか。仮想マシンが最善の策です。ゲストOSはホストシステムから分離されるため、VMにインストールされ、厄介なことを行います。完了したら、クリーンなスナップショットに戻すことができます。。

Alan · Answer

コンテナで実行してみませんか？

多数の画像を選択し、それをターゲットとする監視ツール/スクリプトを添付することで、単一のマルウェアの環境を準備できます。

物理的または仮想的である、マシンを保護するセキュリティのレベルは、コンテナに事前に指定する分離に依存します。

システムのn個の組み合わせを簡単に起動できるため、マルウェアが何に影響を与えているかをより明確に把握できるようになると、コンテナーがさらに明確になります。

また、ネットワーク内でのこのようなマルウェアの動作を分析することもできます。ネットワークサンドボックス内の独自のネットワークで複数のコンテナーを分離し、後者がホストマシンから完全に切り離されていることを確認します。

このような検査中のハードウェアの分離には、Piや安価なハードウェアを使用できます。

それは本当に、マルウェアが通常のコンピューターと同じように動作することを許可し、他の人がすでに指摘しているように外部から完全に隔離することにかかっています。

sh4d0w · Answer

本当に良い専門家のように、もっと賢くする必要はないと思います。 Mark Russinovichは通常、仮想マシンを使用してコードの動作を分析します。もちろん、これは注意する必要がないという意味ではありません。仮想マシンを可能な限り分離します（ファイアウォールの設定など）。

Veggieoskibroski · Answer

マルウェアをテストする私の方法は、次のものをインストールすることです。

ホストPC

サンドボックスソフトウェア（サンドボックスなど）
仮想マシン（VirtualBoxやVMwareなど）
追加のAV（Avast、MalwareBytesなど）

ゲストPC

サンドボックスソフトウェア

（）

すべてを取得したら、仮想マシンをサンドボックス化し（ホストPC上）、AVをアクティブ化します

仮想マシンを開いたら、サンドボックスでウイルスを開きます。

To Goエクストラマイル

VMをVM内にインストールしてサンドボックスでインストールできますが、非常に強力なPCが必要であることに注意してください。

pnp · Answer

他人から与えられた素晴らしい答えに加えて、それに私自身の経験を加えます-

@bethlakshmiによって既に作成されているように、仮想マシンが目的に対して「安全」ではありません。
私はある種のセキュリティ関連の実験も行っているので、私の大学のネットワークの他の部分から切り離された別個のLANを当局に依頼してください。

私が得たのはVLANこれはネットワークの残りの部分から切断されています-そして私はそのネットワークの仮想マシンですべての実験を行います（これもまた、最良の選択肢ではありません-このサイトを単純に検索すると、VLANは実際には「セキュリティ」ではないことがわかります。詳細は here を参照してください。したがって、最善の策は、残りのネットワークから切断されているネットワークを使用することです。ネットワークに接続するか、単にVMをネットワークに接続せずに隔離します。

@Legolasによるコメントへの追加-
そして、ブラックハットコミュニティからの、またはブラックハットコミュニティによって承認されたものから離れてください。私のコンテキストでは、Havijと呼ばれる1つのツールについて説明できます。マルウェアやそのようなものを扱うとき、それが主張することを除いて、それがすべてのことをすることは決してありません！