仮想マシンにマルウェアをインストールしても安全ですか?マルウェアを調査したいのですが、自分のコンピュータに感染させたくありません。
ホストシステムの整合性を危険にさらすことなく、ネットワークアクセスがなくても、VMWare VMにマルウェアをインストールできますか?
この質問に対する単純な答えはありません。 VMソフトウェアは依然としてソフトウェアであり、ターゲットにできる脆弱性があり、少なくとも理論的には、より多くの害を与えるために悪用されます。
感染したVMをネットワークにアクセスして実行すると、潜在的な攻撃経路も開かれます。
考慮すべきもう1つの興味深い点は、十分に高度なマルウェアがVMを認識し、VM内で実行されていることを検出したときにその動作を変更して、実際の害を引き起こす機能をマスキングする可能性があることです。
VM内からホストマシンに感染するように設計されたin-the-wildマルウェアはまだ見たことがありません。ほとんどのマルウェアは、裸のハードウェアで実行されているか、VM内で実行されているかを問わず、どちらの場合でも同じように目標を達成できるため、気にしないはずです。それはおそらくマルウェアがエスケープしないことを想定しても安全ですVMそれを行うインセンティブがないためです。
マルウェアを封じ込めて分析するために設計されたツール とたくさんの 利用可能な情報これを行う方法について があります。 カップル論文 のテクニックとツールも。
はい、いくつかの(絶対に健全な)セキュリティルールに厳密に縛られている場合:
ホストとゲストには完全に異なるオペレーティングシステムを使用します。たとえば、Windows
ゲストに感染するマルウェアは、Linux
ホストに感染したり、攻撃したりすることはほとんどありません。
ゲストよりもネットワーク上で同様のオペレーティングシステムを使用しないでください。この場合も、Windows
ゲストが感染する可能性がありますが、OpenBSD
がマルウェアに攻撃される可能性はほとんどありません。
常識を使用してください。仮想化システムの目標は、感染する全体である必要があります。感染したシステムを、たとえばオンラインバンキング業務に使用しないでください。
あなたの限界を知っています。これは非常に重要です。調査中の特定のマルウェア以外のマルウェアがシステムに表示されたことが疑われる場合は、すぐに実験を終了してやり直してください。
リストの最初の2つのポイントは、確かに、仮想化システムのセキュリティ上の欠陥が他のマシンに害を及ぼさないことをほぼ保証します。
VMとデバッガーは、プロではない最高のオプションです。
AV企業は通常、動作を分析するために sandbox を使用します。検索すると、このようなアプリケーションが見つかります。
VMソフトウェア内のバグを悪用する唯一の方法は、VMが行うことはすべて、I/Oなどのイベントをキャッチしてホストに引き渡すことであるからです。あなたのベンダーがあちこちでバッファオーバーフローに注意を払っていなかった場合、ホストマシンで危険なコードを実行する可能性があります。
UbuntuやdebianのようなLinuxで作業している場合は、limon sandboxという名前の素晴らしいサンドボックスがあります。論文はここにあります https://www.blackhat.com/docs/eu-15/materials/eu-15 -KA-Automating-Linux-Malware-Analysis-Using-Limon-Sandbox-wp.pdf そして、インストールについての適切な説明が必要な場合は、ここに従ってください http://malware-unplugged.blogspot。 in/2015/11/setting-up-limon-sandbox-for-analyzing.html