Costruzione del laboratorio di analisi di Malware
In primo luogo rivolgiamo la nostra attenzione a costruire un laboratorio di analisi del malware di niyour molto possiedono. La gente mi chiede frequentemente riguardo all'apparecchiatura che devono fare l'analisi del malware nel paese o nell'ufficio. Poichè trasferite e verificate i vari programmi dal sistema centrale verso i satelliti difensivi ed offensivi, avrete bisogno di un ambiente solido di eseguire questi esperimenti freakish sui vostri propri. Oltre esperimento freelance puro, potreste incontrare i vari esemplari del malware in uso contro i vostri propri sistemi di produzione nel selvaggio. Usando la struttura del laboratorio descriveremo in questa sezione, potrete colpire e prod il software che cattivo scoprite in moda da poterli ottenere voi una comprensione più profonda di come gli esemplari del malware funzionano e danni potrebbero causare. Con un buon laboratorio di analisi del malware, sarete aspettate quando il software nasty viene denominando. Avvertimenti: Usando i sistemi di Nonproduction e rimanendo fuori del InternetIn primo luogo, assicurisi che costruite il vostro laboratorio per mezzo dei calcolatori supplementari che non contate sopra per gli scopi di produzione. Se siete come me, installerete un certo malware nocivo grazioso su queste scatole, in modo da avrete bisogno dello spacco di aria loro fuori della vostra rete di produzione. Queste macchine non dovrebbero essere collegate mai alla vostra rete reale o al Internet fino a distruggere tutto il software su loro completamente con una riformattazione completa dell'azionamento duro. Inoltre, neppure non pensi a memorizzare alcuni dati sensibili su questi sistemi, poichè alcuni tipi del malware potrebbero rubare questi dati o corromperli completamente. Queste scatole dovrebbero essere un laboratorio e un campo da giuoco di analisi del malware soltanto. Tutto l'uso di queste scatole in un ambiente di produzione ha potuto causare soltanto i grandi importi di difficoltà. Mai, colleghi mai queste macchine al Internet. Siete stati avvertiti! Ulteriormente, desidererete fare il vostro aspettare laboratorio per rotolare all'avviso del momento, in caso di un'emergenza quale una vite senza fine didiffusione che richiede l'analisi rapida. Non desiderate dovere scrounge intorno in tempo reale durante una tal crisi affinchè le scatole correnti di produzione usiate nel vostro laboratorio. Invece, assegni i sistemi adatti e costruisca il laboratorio in anticipo in modo da potete condurre in moto l'analisi. Architettura Generale Del LaboratorioCon quegli avvertimenti allontanato, le buone notizie sono che potete costruire un laboratorio di analisi del malware abbastanza ad un basso costo. Non avete bisogno di ultimi fissaggi del gee-whiz per il vostro laboratorio. Un processor veloce ed i gobs della RAM sono piacevoli da avere, ma da non essere richiesto. Invece, la vecchia apparecchiatura surplus dalla vostra azienda o da un'asta pratica del Internet basterà. L'obiettivo qui è soltanto di ottenere le macchine che terranno i sistemi operativi, un prescelto poche applicazioni ed il malware da analizzare. Tali requisiti limitati possono essere riempiti facilmente senza sistemi di elaborazione della peluche. Per la mia architettura del laboratorio di analisi del malware, uso quattro sistemi collegati insieme. Suggerisco che costruite il vostro laboratorio dalle macchine con almeno un processor da 350 megahertz, il mb 64 della RAM e un azionamento duro da 5 GB. Ogni sistema avrà bisogno di una scheda della rete, naturalmente, ma Ethernet semplice 10-Mbps basterà. Dagli odierni campioni, queste scatole vintage-1997 dovrebbero essere abbondanti ed a buon mercato. Di nuovo, se potete fare più meglio di questa linea di base, avrete un laboratorio più spiffier, ma non devastate il vostro preventivo nell'ottenere questi sistemi. Ho zumato appena sopra al mio luogo in linea favorito dell'asta ed ho visto che i sistemi da tavolo con questo profilo dei fissaggi sono disponibili per di meno che gli Stati Uniti. $250.00 ciascuno. I laptops di questa natura possono essere snagged per intorno agli Stati Uniti. $400.00 ciascuno. Ora, passiamo verso i fissaggi del sistema operativo ed assistiamo la miscela. Come potete vedere, il mio laboratorio contiene un sistema 2000 di Windows che fa funzionare il web server di IIS del Microsoft. Molte società contano su Windows 2000 e gli assistenti di IIS sono un obiettivo favorito del malware. Di conseguenza, posso usare questo sistema per valutare le viti senza fine ed il RootKits numerosi progettati per le macchine di Windows. Naturalmente, Windows 2000 è un sistema operativo commerciale, in modo da avrete bisogno di un'autorizzazione legittima, che potrebbe essere inclusa appena nel vostro acquisto dei fissaggi in se. Il mio sistema seguente è una macchina di Linux, facendo funzionare un ftp server ed il web server del Apache. Appena come con Windows ed IIS, molti esemplari del malware specificamente designano le installazioni come bersaglio vulnerabili del Apache e del ftp, in modo da desidero essere aspetto per analizzarlo. Il mio terzo sistema è una scatola di Windows.xp, configurata per ripartire le lime usando la lima incorporata di Windows che ripartisce i meccanismi. Poiché Windows.xp è un ambiente desktop comune per sia gli utenti domestici che corporativi, posso verificare il malware che designa questi ambienti come bersaglio di utente popolari. Per concludere, per varietà, ho incluso una macchina con il sistema operativo di OpenBSD. OpenBSD sta ottenendo l'attenzione aumentata dovuto le relative caratteristiche incorporate significative di sicurezza. Verifico queste caratteristiche facendo funzionare un assistente di Network File System (NFS) su questa scatola. Su ciascuno dei sistemi nel mio laboratorio, ho installato una varietà di attrezzi di antivirus che possono contribuire ad identificare i vari esempi ben noti del malware mentre sono caricati sul sistema. Ancora, installo l'integrità della lima che controllo il software su ogni macchina per controllare le lime e le regolazioni critiche del sistema nel caso in cui il malware sotto analisi provi a fare i cambiamenti. Mentre analizzo i critters diabolici, potrei inabilitare il antivirus e l'integrità della lima che controlla temporaneamente gli attrezzi per ottenere più comprensione, lasciante il mio piede fuori del software frena. Tuttavia, la mia posizione di difetto deve lasciare questi attrezzi difensivi in funzione, per controllare tutta la contaminazione all'interno del mio laboratorio fino a che non decida lasci il malware funzionare liberamente. Collego tutte queste scatole che usando insieme un mozzo poco costoso o commuto. Realmente preferisco usando un mozzo per il mio laboratorio, perché i mozzi ripiegano i pacchetti a tutti i sistemi collegati alla lan. Che il senso, io può fare funzionare una ventosa su c'è ne delle mie macchine laboratorio-collegate e vede i pacchetti trasmessi da qualunque altro sistema sulla lan del laboratorio. Se utilizzo un interruttore, dovrò configurare un orificio della portata, che è un singolo collegamento sull'interruttore che riceve tutti i dati dalla lan. Alcuni degli interruttori più poco costosi neppure non hanno un'opzione per gli orificii della portata. Di conseguenza, la vostra scommessa migliore per rete il vostro laboratorio di analisi del malware è il mozzo umile. Ho configurato la rete di ciascuna delle mie scatole del laboratorio in modo che fossero tutti sulla stessa lan, usando una banda unregistered degli indirizzi del IP nella gamma della rete 10.x.y.z. Uso 10.10.10.z in particolare, semplicemente perché è facile da scrivere. Inoltre uso un netmask di 255.255.255.0, che mi concederebbero fino a 254 macchine differenti su questa rete. Ora, ho calcolatori molto nel mio laboratorio, ma ancora non ho funzionato dagli indirizzi. Dovrebbe essere notato che la flessibilità ed il pragmatismo sono caratteristiche utili del vostro laboratorio. Se un esemplare brandnew del malware è liberato che lo fa funzionare contro un ambiente dell'obiettivo già non ha costruito, modificherò velocemente il mio laboratorio per sostenere il nuovo tipo di obiettivo. Per esempio, se qualcuno libera un attacco contro un web server del Apache che funziona a Windows, anziché il mio assistente di difetto IIS, installerò semplicemente Apache su una delle mie macchine di Windows per analizzare il nuovo agente patogeno. Generando un'infrastruttura del laboratorio della linea di base di difetto che può essere adattata facilmente ad altri ambienti, sono aspetto per cominciare analizzare quasi qualche cosa i tipi difettosi per liberare. Inoltre, non ritenga prego che dovete emulare questo laboratorio del campione in dettaglio esatto. Ritenga libero variarlo per soddisfare le vostre proprie tecniche di analisi e dell'ambiente. Se il vostro datore di lavoro utilizza tantissime macchine di Solaris, getti un vecchio sistema di Sparc nella miscela, quale un sistema poco costoso di Sparc 5 (più di meno degli Stati Uniti. $100.00 ad una casa di asta del Internet vicino voi). Se desiderate verificare HP-UX, ottenga una vecchia scatola dell'HP ed includala in laboratorio. Non usi le mie specifiche del laboratorio come leash per limitare il vostro laboratorio; usi le mie spec. come punto di partenza per la vostri propri esplorazione ed adattamento. Per concludere, tenga presente che non dovete effettuare questo laboratorio in tutto il relativo glory. Non si preoccupi se non potete permettersi parecchi calcolatori; ancora potrete analizzare il malware. Se non avete i fondi monetari, potreste generare una versione minore di questo laboratorio con appena un singolo calcolatore. Costruisca un doppio-caricamento del sistema Windows e la macchina di Linux, installante entrambi i sistemi operativi su una singola scatola in modo da potete commutare fra i due con un reboot semplice. Quel senso, potrete analizzare il malware almeno su un sistema. Potreste persino mettere a nudo il vostro laboratorio giù per avanzare. Se desiderate mettere a fuoco appena su analisi del malware di Windows, potreste anche configurare appena una singola macchina di Windows, avendola aspettate per fare la vostra analisi. Virtualizing TuttoL'architettura del laboratorio abbiamo discusso finora i fuochi sull'acquisto quattro macchine separate e del mozzo, ma un'esecuzione ancora più niftier coinvolge usando un ambiente virtuale per operare simultaneamente i sistemi operativi differenti su un singolo contenitore di fissaggi. Effettuare i sistemi virtuali permette che me installi un sistema operativo ospite su un singolo calcolatore di laptop o del tavolo ed allora operi parecchi sistemi operativi dell'ospite in cima esso. L'ospite è giusto un sistema operativo normale, funzionante sui miei fissaggi. I sistemi operativi dell'ospite, tuttavia, sono semplicemente programmi che funzionano in cima al mio sistema operativo ospite. Questi ospiti sono sistemi operativi allineare che funzionano simultaneamente sull'ospite, in quanto possono fare funzionare i programmi essi stessi e comunicare attraverso una rete virtuale che collega insieme tutti questi sistemi virtuali. Ogni sistema operativo dell'ospite è effettuato con un programma di emulazione che funziona sull'ospite e consiste di alcune lime all'interno dell'ospite. I sistemi dell'ospite neppure non si rendono conto che non sono reali! Pensano che siano sistemi separati che funzionano sui loro propri fissaggi, ma sono realmente giusti ripartendo un processor. Usando questo metodo, costruisco sistemi virtuali tre o più differenti e le faccio funzionare allo stesso tempo su un singolo calcolatore. Usando un ambiente virtuale per l'analisi del malware non è una nuova idea. Effettivamente, i ricercatori all'IBM hanno realizzato certo molto di andata-osservare il lavoro su analisi del malware per mezzo di una parte posteriore virtuale dell'ambiente della macchina in 2000. Uso i concetti simili nel mio proprio laboratorio. Una varietà di programmi è disponibile che li ha lasciati trasformare in una singola macchina una tenuta ospite vari sistemi operativi. Gli attrezzi commerciali gradiscono VMWare (disponibile a www.vmware.com), pc virtuale (disponibile a www.connectix.com) ed altri emulano un processor x86 nel software in modo da potete installare e fare funzionare i calcolatori virtuali in cima ad un singolo insieme di fissaggi. Ci è attrezzi uniformi del freeware che fanno questo, quale il progetto virtuale della macchina Plex86, a http://plex86.sourceforge.neted il progetto Bochs a http://bochs.sourceforge.net. Ancora, se desiderate Linux soltanto, il progetto di UML può fare funzionare il multiplo, noccioli indipendenti di Linux all'interno dei processi di Linux su una singola macchina di Linux. UML è disponibile per libero a http://user-mode-linux.sourceforge.net. La bellezza di questa esecuzione virtuale è che posso trasportarmi il mio intero laboratorio di analisi del malware con su un singolo laptop e verifica il software cattivo sulla strada. Ancora, la maggior parte di questi attrezzi virtuali del sistema permettono che rotoliate indietro tutti i cambiamenti ad una macchina virtuale senza ricostruire un sistema, immediatamente ristabilente un sistema operativo dell'ospite alla relativa configurazione originale. Se un certo malware reale scompiglia su una delle mie macchine virtuali, immediatamente la regolerò appena di nuovo all'originale dichiaro. Di conseguenza, posso guardare sicuro l'effetto dei malware sulla mia rete (puramente virtuale), mantenente il mio sanity mentre funziono con un certo codice buggy e molto nasty del attacker. Ciò ritorna la caratteristica è immenso utile. Posso persino congelare i sistemi operativi dell'ospite nelle loro piste, sospendenti tutta l'azione mentre analizzo che cosa il software nasty sta facendo. Naturalmente, fare funzionare tutte queste macchine virtuali allo stesso tempo, i fissaggi dell'elaboratore ospite devono essere più beefier dei sistemi relativamente scrawny descritti nell'ultima sezione. Effettivamente, con abbastanza cavalli vapore del CPU e della RAM, potete virtualize quasi qualche cosa. Se intendete sul dirigere un laboratorio virtuale di analisi del malware, suggerisco almeno un processor dei 2 gigahertz, con almeno il mb 64 della RAM per ogni sistema che operativo dell'ospite intendete sul funzionare. Di conseguenza, se desiderate fare funzionare un sistema operativo singolo ospite e tre ospiti, dovreste avere il mb 256 o più della RAM. Nell'interesse della comodità, potreste desiderare andare avanti e raddoppiare quella figura della RAM al mb 512 in modo da i vostri sistemi possono funzionare ad un passo più ragionevole. Con i sistemi operativi virtuali, la memoria è l'ossigeno che mantiene la respirazione della macchina. Per il mio proprio laboratorio virtuale portatile, uso il prodotto di VMWare. È un attrezzo commerciale, ma lo ho trovato per essere più stabile e flessibile che alcune delle offerte virtuali libere del sistema. 'il ve ha installato VMware sul mio sistema operativo ospite di Windows 2000 per tenere un mazzo di sistemi operativi dell'ospite differente, compreso Windows.xp, di vari incarnations del cappello rosso Linux, di FreeBSD e di assistente 2000 di Windows. Posso operare c'è ne o tutti questi sistemi operativi dell'ospite allo stesso tempo, o sospendali per analisi futura. Un ambiente virtuale non è richiesto per effettuare un laboratorio di analisi del malware, ma può certamente rendere il processo di analisi mólto più facile e più portatile! ciò è un articolo aggiunto da Greg McKlein
|
|||||
|