VM Escapesについて心配する必要はありますか?
マルウェアの分析とフォレンジックを行う方法を学ぶつもりですが、1つまたは2つの懸念があります。
私が自分で書いたコードを分析することから始めたいのですが、それで問題ありません。しかし、いつの日か本当のマルウェアの分析を開始したいと思います。
通常のように、私はWindows VM(Windowsホスト上))内で分析します。INetSimのようなものがフックされ、それがすべてです。
しかし、私の懸念はVMエスケープです。VMWareWorkstationを最新の状態に保つ場合、VMエスケープについて心配する必要があるかどうか-date?私はインターネットを見回しましたが、そこにある一般的な文献は、エンタープライズ/クラウドに重点を置いているようですVM同じ物理ハードウェア上の他のVMにアクセスするという意味での脱出これが、さまざまなゲストではなくホストへの攻撃である非エンタープライズの状況にどの程度当てはまるかはわかりません。
これは、VMを回避するためにマルウェアを非常に具体的に記述する必要があるケースの1つであり、分析するサンプルについて適切な調査を行っている場合、問題はありませんか?
他の質問は、サンプルがダウンロードされるとすぐに外部インターネットアクセスを無効にする(つまり、VMをホストオンリー/内部ネットワークに配置する)以外に、私が取るべき他の賢明な予防策があると思いますか?
前もって感謝します
TL; DRバージョン:適切な処理を行っていれば、VMをエスケープするマルウェアを心配する必要はありません。その可能性はかなり低いです。
とは言っても、あなたが説明した内部ネットワークシナリオ(ホストとゲストの間の一般的な仮想)は、VMワームの形でのエスケープから保護するのに十分ではありません。ほとんどのホストサービスは、任意のネットワークインターフェイスでリッスンします。 、ゲストに共通の内部仮想インターフェイスを含みます。これは、ネットワークを介して脆弱性を悪用しようとするワーム機能を持つマルウェア(たとえば、古き良きWannaCry-WannabeによるEternalBlueへの銃撃、BlueKeepを使用した新しい子供など)が実行されることを意味しますゲストは共有ネットワーク経由でホストにアクセスできる場合があります。
答えは簡単です。ホストとゲストの間に共通のネットワークインターフェイスがなく、2つをできるだけ分離します。
有害なコードを掘り当てた長年、VMをエスケープするマルウェアは非常にまれでした。脅威の攻撃者は、複数のダウンロード可能なコンポーネントを使用して攻撃を頻繁にステージングしているため、チェーンの早い段階ですべてのツールを燃やすことはありません。 VMエスケープは実際にはゲームの後半に来ます。脅威のアクターがハニーポットまたはフォレンジックステーションにいないことを確認すると、エスケープは検出されなかったことが確認されます。次の段階のダウンロードを開始します。
ほとんどの場合、マルウェアは「サンドボックス」環境にある場合、チェックを実行します。インターネット接続、仮想化の存在、およびその他のいくつかの基準(ユーザーのプロファイル内の意味のあるファイルの存在など)をチェックします-これらは通常、コードが無菌の「フォレンジック」環境で実行されたことを示す兆候です。そして、コードは単に実行されません。そのため、インターネットを完全に切断することもできない場合があります。
完全に分離された環境で実験を行うのが最善ですが、特に初心者にとっては、必ずしも実行可能であるとは限りません-投資はかなりのものになる可能性があります。
お役に立てれば!