1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Bruke VMware for malware analysis

Fordelen med malware analyse med VMware
VMware gir mulighet for simulering av flere datamaskiner som kjører samtidig på en enkelt fysisk system. Det er flere fordeler med denne tilnærmingen for atferds malware analyse, sammenlignet med en lab bygget ved hjelp av ulike fysiske infrastrukturkomponenter:
Det er ofte en fordel å ha flere systemer i analysen laboratoriet, slik at malware kan samhandle med komponenter av den simulerte Internett . Med VMware, er det mulig å bygge et flerkomponent laboratoriet uten hulk av flere fysiske bokser.
Å kunne ta et øyeblikksbilde av systemets tilstand før infisere den og tar jevnlige øyeblikksbilder gjennom analyse sparer tid. Denne funksjonaliteten gir en enkel måte å gå tilbake til den ønskede systemtilstand nesten umiddelbart. VMware gjør dette enkelt med sin integrerte snapshot-funksjonen. VMware Workstation, et kommersielt produkt, gjør at flere snapshots. VMware Server, som er et gratis produkt, støtter bare et enkelt bilde. VMware Player, også gratis, ikke kan ta bilder i det hele tatt.
VMwares host-only
nettverk alternativet er praktisk for sammenkobling av virtuelle systemer ved hjelp av et simulert nettverk uten ekstra maskinvare. Dette oppsettet gjør det også mindre sannsynlig at en analytiker ville være fristet til å koble laboratoriet miljøet i produksjonsnettverk. Verten-only nettverk lar enhver virtuelt system for å se all trafikk på den simulerte nettverket når du lytter i promiskuøse modus. Dette gjør overvåking av prøve nettverk interaksjoner lett.

Komme i gang med VMware malware analyse
Forberede et VMware-baserte analyselaboratorium er enkel. Du trenger et system med mye RAM og diskplass som vil fungere som den fysiske vert. Du må også ha nødvendig programvare. VMware Workstation eller Server, og installasjonsmedium for operativsystemet du vil distribuere i laboratoriet


Lenny Zeltser svarer på dine spørsmål
bli med oss ​​på onsdag 30 mai kl 12:00 ET, som Lenny Zeltser forklarer hva annet må være i din malware analyse verktøykasse. Pre-register for hans live webcast nå.

VMware emulerer datamaskinens maskinvare, slik at du må installere OS i hver virtuell vert opprettet ved hjelp av VMwares nye Virtual Machine Wizard. Når OS er satt opp, installere VMware Tools-pakken, som optimaliserer systemet for å operere innenfor VMware. Deretter installere riktig malware analyse programvare.

Jeg anbefaler å ha virtuelle maskiner med forskjellige operativsystemer i laboratoriet, som hver representerer OS som malware er sannsynlig å målrette. Dette muliggjør observasjon av ondsinnede programmer i sitt eget miljø. Hvis du bruker VMware Workstation, ta øyeblikksbilder av virtuelle systemet på ulike punkter under installasjonsprosessen for å analysere malware på ønsket patch nivå.

Å holde produksjonssystemer trygg
Når du arbeider med malware, ta forholdsregler for ikke å infisere produksjonssystemer. Slike brudd kan skje ved håndtering av malware feil eller når et eksemplar utnytter en svakhet i VMware oppsett og rømming sin sandkasse. . Det har vært flere offentlig kunngjort sårbarheter i VMware som i teorien kan tillate ondsinnet kode fra den virtuelle systemet for å finne sin vei inn på den fysiske verten (pdf)

Her er noen forslag til avbøtende disse risikoene:
Hold deg oppdatert med sikkerhetsoppdateringer fra VMware
tilegne den fysiske verten til VMware-baserte lab.; ikke bruke systemet til andre formål.
Ikke koble fysiske laboratoriesystem til produksjonsnettverk.
Overvåk fysisk vert med vertsbasert Intrusion Detection (IDS) programvare, for eksempel en fil-integritet brikke .
jevne re-image den fysiske verten bruker kloning programvare, slik som Norton Ghost. Hvis dette alternativet er for treg, se til maskinvare moduler, slik som Core-gjenoppretting, for angre endringer i systemets tilstand.


For mer informasjon om VMware

Ed Skoudis undersøker hvor godt VMware beskytter mot malware. Mike Rothman vurderinger dagens virtualisering sikkerhetsutfordringer.

En av utfordringene med å bruke VMware for malware analyse er at ondsinnet kode kan oppdage om det kjører i et virtuelt system, som viser til prøven at det blir analysert. Hvis du ikke kan endre prøven kode for å eliminere denne funksjonaliteten, kan du konfigurere VMware for å gjøre det stealthier. Tom Liston og Ed Skoudis fjor dokumentert flere VMware .vmx filinnstillingene du kan sette inn for å oppnå dette. Det største problemet med disse innstillingene er at de kan forsinke den virtuelle systemets ytelse. Vær også oppmerksom på at de ikke er støttet av VMware.

virtualiseringsmuligheter og strategi
Selvfølgelig er ikke VMware det eneste alternativet for virtualisering programvare du kan bruke for malware analyse. Vanlige alternativer er Microsoft Virtual PC og Parallels Workstation.

Virtualisering programvare gir en praktisk og tidsbesparende mekanisme for å bygge en malware analyse miljø. Bare sørg for å etablere de nødvendige kontroller for å hindre ondsinnet programvare fra rømmer din testing miljø. Med en finjustert lab, vil du være godt på vei mot å gjøre mest mulig ut av malware analyse ferdigheter.