web-dev-qa-db-ja.com

VMでマルウェアを安全にテストするにはどうすればよいですか?

この質問はおそらくここで何度か尋ねられていますが、少し違った方法で尋ねます。

マルウェアと、それがコンピュータにどのように感染するか、およびコンピュータが攻撃された場合にコンピュータを駆除する方法について学びたいと思っています。複数の人が仮想マシンを使用してマルウェアをテストするのを見てきました(私は数年前からVirtualBoxを使用しています)と私もそれを実行することを考えましたが、マルウェアが= VMそして、ホストコンピュータとネットワーク上のすべてのコンピュータを台無しにします。

私が持っている質問は:

  1. VirtualBoxでマルウェアをテストできますかVM内でインターネットにアクセスできますホストコンピューターやネットワーク上の他のコンピューターに害を与えることなく、==

  2. 実際のコンピュータを使用してマルウェアをテストする場合(私はジャンキーなDell XPタワーが飛び交っている)の場合)、後書きのフォーマットで十分ですか?

  3. デルXPタワーでも、マルウェアが他のコンピュータに影響を与えることなくインターネットを有効にできますか?

  4. VM内で同時にインターネットを有効にしてマルウェアを使用することができない場合でも、そのマルウェアはVM =そして、ホストコンピュータを攻撃しますか?

  5. 私はまた、これらの陳腐なWindows詐欺師の一部に「いたずら」するので(まあ、実際にいたずらではなく、彼らが侵入して損害を与えることができる方法をテストしているだけです)、VMを使用しても安全ですか、それともそのジャンキーを使用できますか?私のデル?

  6. マルウェアテストを行っている間、IPアドレスとMACアドレスがマスクされ、ログに記録されて受信できない人に送信されないようにする必要もありますか?

  7. VM内でマルウェアを安全に実行できる場合、実際のものを安全に保つにはどのような手順が必要ですか?

これが役立つ場合、私のホストコンピュータは、OS X 10.8.5を実行しているMac、またはXP(私のDellではない)を実行しているタワー)のいずれかになります。

ゲストはすべてのOSですが、主にWindowsです(はい、最新のものから古いものへ)。

皆さんのためにこれを十分に説明できたらと思います。

どんな助けも大歓迎です。

ありがとうございました!

7
Terkey-Juice

1/3/4/7-インターネットへのアクセス? VMはそれを「野生に」解放する可能性があるため、それが何をするかによっては良い考えではありません。VMで実行すると、インターネットに接続されていません。TheBearからのこの回答は、VMをエスケープするマルウェアについてより詳細に説明します。 こちら

マルウェアの99%については、2フォーマッティングで問題ありません。中にはハードドライブ以外の他の領域を攻撃するものもありますので、そのことを念頭に置いて、何を使っているかを調べてください。詳細情報 ここ

6-プロキシを使用できますが、Munkeyotoが述べたように、適切に分析するには、トラフィックを確認する必要があります。

コメントでの質問については...-はい、そうです。書式設定だけで問題が発生することはありません。 MBR、BIOS、ファームウェアの場合は、非常に高度なマルウェアが存在する可能性がありますが、これは日常的なマルウェアよりもはるかに多いでしょう。周辺機器が接続されていない限り(USBドライブなど)。

4
Azifor

あなたの1)VMホストコンピュータやネットワーク上の他のコンピュータに害を与えることなく、インターネットにアクセスできるVirtualBoxでマルウェアをテストできますか?

あなたはしたくないでしょう。分析しているマルウェアが、銀行や政府機関のマシンを標的にするように設計されているとします。巨額の責任を負うことになります。方程式の片側では、接続性がないと結果が制限されます。たとえば、C&Cベースのマルウェアに対処する場合、新しいドロッパーやC&Cベースのコマンドは表示されません。

これに対する修正は、あなたと他の世界の間にプロキシを挿入することです。これを正しく行うには、接続を監視し、すぐに接続を停止し、システムが悪意のある接続を作成していないことを確認してから、悪意のあるマシンへの許可ルールを作成し、他の接続をブロックします。このようになります:

You --> run malware
Malware connects to malicious site --> get commands (here you get the address of malicious Host)
You --> create a BLOCK ALL fw rule, and then create an ALLOW MALICIOUS RULE

これにより、システムは悪意のあるシステムと[〜#〜]のみ[〜#〜]で通信できるようになります。マシンから攻撃を仕掛けようとすると、fwルールによってブロックされます。理想的には、偽のルートを作成する必要があります。例えば。:

route add 0.0.0.0/0 10.10.10.10/32

すべてのアウトバウンドトラフィックがシステム(10.10.10.10/32)に行き、そのマシンでネットワーク分析ツール(Wireshark、Netwitness)を実行する場合。

あなたの2)実際のコンピュータを使用してマルウェアをテストする場合(私はジャンキーなDell XPタワーが飛び交っている)の場合、後書きのフォーマットで十分ですか?

ゴーストイメージを作成して保存し、分析し、ゴーストイメージを復元しないのはなぜですか。 BIOSベースのマルウェアが安全であることはまれですが、BIOSをパスワードで保護するか、「 regshot 」のようなものを実行して、実行されているコマンドを追跡できます。たぶん、HB Garyのflytrap(まだ利用可能な場合)

あなたの3)Dell XPタワーでもマルウェアが他のコンピュータに影響を与えることなくインターネットを有効にできますか?

あなたは知ることができませんでした。一部のマルウェアはエクスプロイトツール(metasploitなど)をダウンロードし、内部ホストの脆弱性をスキャンする可能性があります

あなたの4)インターネットを有効にして、VM内で同時にマルウェアを使用することができない場合でも、マルウェアはVMそしてホストコンピュータを攻撃しますか?

これはあなたの3で答えられました

あなたの5)私はそれらの決まりきったWindows詐欺師の一部にも「いたずら」するので(まあ、実際にはいたずらではなく、彼らが侵入して損害を与えることができる方法をテストしているだけ)、安全に使用できますか? VM、または私は私のジャンクなDellを使用することさえできますか?

「いたずら」を定義します。多くのマルウェア作成者は技術的に非常に精通しており、一般的なマルウェアはハニーポット上にあるのか、VMで実行されているのか、何か問題があるのか​​を判断できます。それとは別に、多くのマルウェア作成者は組織犯罪に埋め込まれていることが多いため、プレイするのは非常に危険なゲームになる可能性があります。

あなたの6)また、マルウェアテストを行っている間、IPアドレスとMACアドレスがログに記録されず、受信できる人に送信されないように、IPアドレスとMACアドレスをマスクする必要がありますか?

このステートメントについては不明。マスキングIPを定義します。ホストに接続する場合は、どこかから来る必要があります。マシンがユーザーに応答する必要があるのは、適切な結果(マルウェアが何をしているのか)を得る唯一のソリューションです。 VPNプロキシを使用することもできますが、なりすましの方法はありません。

あなたの7)VM内でマルウェアを安全に実行できる場合、実際のものを安全に保つにはどのような手順が必要ですか?

「実際のもの」と同じネットワーク上のマルウェアを分析しないでください。別のルーターを用意し、そのホストのみをそこに配置してください。

3
munkeyoto

VMを使用するときに実際に発生する問題は、ほとんどのマルウェアがペイロードを開くことを拒否するため、多くの調査を行わないことです。 VMを使用してマルウェアを分析する研究者はあまりにも一般的であり、最近のほとんどのマルウェアは、VMで実行されている手がかりを探し、発見された場合は休止状態を保つことで積極的に防御しています。仮想化された方法を実行すると、ベアメタルシステムで同じテストを実行している人とは結果が異なる可能性があることを覚えておいてください。

そうは言っても、同じ予防策でデスクトップを使用して大丈夫である必要があります。すべてのネットワークアクセスを制限し、ローカルネットワークに接続せず、インターネットアクセスを提供しないでください。 DoS攻撃の発動やNSAのポートスキャンなど、悪意のある行為を開始した場合また、マルウェアが展開された後は、システム上のメディア(サムドライブなど)を共有しないでください。後で使用するためにファイルを保存する場合は、ドライブに赤いテープのリングを置いて、他のテープと混同しないようにしてください。

2
Jeff Meden

それはどのマルウェアに依存します-テストしているマルウェアの特定の株の振る舞いをよく理解していれば、インターネットアクセスは問題になりません。もちろん、マルウェアの分析に関する他の評判の良いレポートなどから、それを実行してもインターネットホストを攻撃しないことを確信しておく必要があります。

ただし、これらのバグが発見されたかどうかにかかわらず、VMのブレイクアウトは常に発生しますが、別の問題です。 VMエクスプロイトが含まれていないことがわかっているマルウェアのみをテストする場合は特に、安全です。

最近、マルウェアテスト用にVMware Fusionネットワークをセットアップしました。マルウェアの種類に応じて、Iptablesを設定して、インターネットアクセスをブロックするか(DNSや他のホワイトリストに登録されたホストを除く)、パブリックインターネットアクセスを許可します。プライベートアドレスへのアクセスは常に禁止されていました。これにより、ローカルネットワークがマルウェアの侵入から保護されます。

私のトポロジは次のとおりでした:

Host (Mac) <--> Debian running as IP forwarder with Iptables <--> Windows Test machine
                                                              |->  Kali box

Kaliボックスがあったので、外部の観点から、ターゲットマシンに対して独自のカスタムエクスプロイトを実行することもできました。

Debianシステムには2つのネットワークインターフェースがあり、これにより、ホストマシンへのアクセスがなく、外部ネットワークへのアクセスもまったくない状態でネットワークを構成できます。左側のネットワークはインターネットアクセスのみで構成されており、ホストアクセスはありません。

MACがレベル2のネットワークエンティティであるため、MACが公開されることを心配する必要はありません。ローカルネットワークのみがデバイスのインターネット接続に影響を与えることはありません。もちろん、マルウェアがインターネットベースのサービスに接触すると、DebianシステムをVPNまたはTorでこれらの接続に設定しない限り、IPが公開されます。

部屋の象は、「信頼できるマルウェアの動作」があっても、問題のマルウェアがコントローラーホストから任意の実行可能ファイルをダウンロードする可能性があるため、銀行のWebサイトへの攻撃やVMからの脱出などを行う可能性があります。したがって、これが懸念される場合、マルウェアの動作を真に分析し、インターネットアクセスを完全に禁止する場合は、別のVMを使用してコントローラーホストを模倣する必要があります。

0
SilverlightFox