Het bouwen van een Malware Analysis Laboratory
Laten we eerst onze aandacht richten op het opbouwen van een malware analyse laboratorium van niyour zeer eigen. Mensen vragen me vaak over de apparatuur die ze nodig hebben om malware analyse thuis of op kantoor. Zoals u downloaden en testen van diverse defensief en offensief programma's, moet je een stevige omgeving om deze grillige experimenten uit te voeren op uw eigen. Afgezien van enkele freelance experimenten zou je tegenkomt diverse malware exemplaren in gebruik zijn tegen je eigen productie systemen in het wild. Met behulp van het laboratorium structuur die we zullen beschrijven in dit deel zul je kunnen porren en de schadelijke software te ontdekken, zodat je een dieper inzicht in kunnen krijgen Prod hoe de malware exemplaren werk en de schade die zij zouden kunnen hebben veroorzaakt. Met een goede malware analyse laboratorium, zult u klaar wanneer vervelende software komt bellen. Voorbehoud: Gebruik Nonproduction Systems en Staying off van het internetTen eerste, zorg ervoor dat u uw laboratorium te bouwen met behulp van extra computers die je niet vertrouwen op voor productie doeleinden. Als je net als ik, kun je het installeren van sommige vrij schadelijke malware op deze vakken, dus je zult moeten kloof ze uit de lucht van uw productie-netwerk. Deze machines moeten nooit worden aangesloten op uw echte netwerk of het internet totdat alle software op hen is volledig vernietigd met een grondige opnieuw formatteren van de harde schijf. Ook, zelfs niet na te denken over de opslag van gevoelige gegevens op deze systemen, zoals sommige soorten malware deze gegevens of corrupte het grondig kon stelen. Deze vakken moeten een malware analyse lab en speeltuin alleen. Elk gebruik van deze dozen in een productie omgeving kon alleen maar leiden tot enorme hoeveelheden problemen. Nooit, nooit verbinden deze machines met het internet. Je bent gewaarschuwd! Daarnaast zult u uw lab klaar te rollen met een opzegtermijn van een moment, in het geval van een noodsituatie zoals een snel verspreidende worm die snelle analyse vereist. U wilt niet te moeten scrounge rond in real time tijdens een dergelijke crisis voor de huidige productie dozen te gebruiken in uw laboratorium. In plaats daarvan wijzen de juiste systemen en bouw het lab van tevoren, zodat je analyse kan uitvoeren op de vliegen. Overall Lab ArchitectuurMet die kanttekeningen uit de weg, het goede nieuws is dat u een malware analyse laboratorium kan bouwen op een vrij lage kosten. U hoeft niet de nieuwste Gee Whiz-hardware voor uw laboratorium. Een snelle processor en RAM gobs zijn leuk om te hebben, maar zijn niet vereist. In plaats daarvan, oude overtollige apparatuur van uw bedrijf of een handige internet veiling zal volstaan. Het doel hier is enkel te verkrijgen machines die zal houden de besturingssystemen, een select aantal toepassingen en de malware te worden geanalyseerd. Dergelijke beperking van de eisen kan eenvoudig worden ingevuld zonder pluche computersystemen. Voor mijn malware analyse laboratorium architectuur, gebruik ik vier systemen met elkaar zijn verbonden. Ik raad u aan uw laboratorium bouwen van machines met minstens een 350 MHz processor, 64 MB RAM, en een 5 GB harde schijf. Elk systeem moet een netwerkkaart, natuurlijk, maar een eenvoudige 10-Mbps Ethernet zal volstaan. Door de huidige normen moeten deze vintage-1997 dozen worden overvloedig en goedkoop. Nogmaals, indien u beter dan deze uitgangswaarde kan doen, heb je een spiffier lab, maar niet uw budget verwoesten bij het verkrijgen van deze systemen. Ik ingezoomde over naar mijn favoriete on-line veiling site, en zag dat desktop-systemen met deze hardware profiel zijn verkrijgbaar voor minder dan US 250,00 dollar per stuk. Laptops van deze aard kan worden snagged voor ongeveer US $ 400,00 per stuk. Laten we nu overgaan tot het besturingssysteem de hardware en service mix. Zoals u kunt zien, mijn lab bevat een Windows 2000-systeem met Microsoft's IIS-webserver. Veel bedrijven vertrouwen op Windows 2000 en IIS-servers zijn een favoriet doelwit van malware. Daarom kan ik dit systeem gebruiken ter evaluatie van de vele wormen en rootkits ontworpen voor Windows machines. Natuurlijk, Windows 2000 is een commercieel besturingssysteem, dus je hebt een legitieme licentie, die net had kunnen zijn opgenomen in uw aankoop van de hardware zelf. Mijn volgende systeem is een Linux machine, draait een FTP-server en de Apache webserver. Net zoals met Windows en IIS, veel malware exemplaren die specifiek gericht op kwetsbare FTP en Apache-installaties, dus ik wil klaar zijn om ze te analyseren. Mijn derde systeem is een Windows XP-doos, geconfigureerd om bestanden te delen met behulp van de ingebouwde Windows file sharing mechanismen. Omdat Windows XP is een gemeenschappelijk desktop omgeving voor zowel thuis-en zakelijke gebruikers, kan ik testen malware die deze populaire user omgevingen doelen. Tot slot, voor verscheidenheid, heb ik een machine met het OpenBSD besturingssysteem. OpenBSD wordt steeds meer aandacht vanwege de aanzienlijke ingebouwde beveiligingsfuncties. Ik test deze functies door het uitvoeren van een Network File System (NFS) server op dit vak. Op elk van de systemen in mijn lab, heb ik geïnstalleerd, een verscheidenheid van antivirus tools die kunnen helpen bij het identificeren diverse bekende malware voorbeelden zoals ze zijn geladen op het systeem. Verder installeer ik bestand integriteits controle software op elke machine om kritische bestanden en systeeminstellingen monitor in het geval dat malware ter analyse probeert te veranderen. Terwijl ik het kwaad critters analyseren, misschien schakel ik de antivirus-en bestand integriteits controle tools tijdelijk om meer inzicht te krijgen, waardoor mijn voet af van de software remmen. Echter, mijn standaard houding is om deze defensieve hulpmiddelen verlof in bedrijf is, om verontreiniging controle binnen mijn lab totdat ik besluit om de malware los laten lopen. Ik sluit al deze vakken samen met behulp van een goedkope hub of switch. Ik heb eigenlijk liever met behulp van een hub voor mijn lab, omdat hubs pakketten repliceren naar alle systemen aangesloten op het LAN. Op die manier kan ik een sniffer op een van mijn lab-aangesloten machines, en zie de pakketten verstuurd door een ander systeem op het laboratorium netwerk. Als ik een switch gebruiken, moet ik nodig voor het configureren van een span-poort, die een enkele verbinding op de switch dat alle gegevens van de LAN ontvangt. Sommige van de goedkopere switches hebben niet eens een optie voor span havens. Daarom is uw beste weddenschap voor netwerking uw malware analyse laboratorium is de nederige hub. Ik heb geconfigureerd de netwerkvorming van elk van mijn lab dozen, zodat zij een niet-ingeschreven strook van IP-adressen zijn allemaal op hetzelfde netwerk, met behulp van in de 10.xyz netwerk bereik. Ik gebruik 10.10.10.z in het bijzonder, gewoon omdat het makkelijk te typen. Ik ook een netmask van 255.255.255.0, waardoor ik tot 254 verschillende machines op dit netwerk. Nu heb ik veel van computers in mijn lab, maar ik heb nog niet uitgeput van adressen. Opgemerkt moet worden dat flexibiliteit en pragmatisme zijn nuttig kenmerken van uw lab. Als er een nieuwe malware exemplaar wordt vrijgegeven die loopt tegen een doelomgeving ik niet al gebouwd, zal ik snel wijzigingen aanbrengen in mijn laboratorium naar het nieuwe type van de doelstelling te ondersteunen. Bijvoorbeeld, als iemand releases een aanval op een Apache webserver draait op Windows, in plaats van mijn standaard IIS-server, dan zal ik gewoon Apache installeren op een van mijn Windows machines voor het testen van de nieuwe ziekteverwekker. Door het creëren van een standaard baseline lab infrastructuur die eenvoudig kunnen worden aangepast aan andere omgevingen, ik ben klaar om te beginnen met het analyseren van bijna alles wat de slechteriken ontketenen. Ook kunt u niet het gevoel dat u aan dit monster lab in exacte details te emuleren. Voel je vrij om te variëren aan uw eigen omgeving en analyse technieken. Als uw werkgever een groot aantal Solaris-machines, gebruikt een oude Sparc systeem gooien in de mix, zoals een goedkope Sparc 5-systeem (minder dan US $ 100.00 op een internet-veilinghuis in uw buurt). Als u wilt controleren HP-UX, krijgen een oude HP doos en dit opnemen in het lab. Gebruik niet mijn lab specificaties als een riem om uw laboratorium te beperken; gebruik mijn specs als een startpunt voor uw eigen exploratie en aanpassing. Tot slot, houd er rekening mee dat u niet hoeft te dit lab in al zijn glorie. Maak je geen zorgen als je niet kunt meerdere computers veroorloven, je kunt nog steeds te analyseren malware. Als u niet de middelen hebben, zou u een junior-versie van dit lab met slechts een enkele computer. Bouw een dual-boot Windows-en Linux-machine, het installeren van beide besturingssystemen op een enkele box, zodat u kunt schakelen tussen de twee met een simpele reboot. Op die manier zul je kunnen analyseren malware op ten minste een systeem. U kunt zelfs strook uw lab verder omlaag. Als u wilt gewoon richten op Windows malware analyse, kun je ook configureren slechts een enkele Windows machine, nadat het klaar om te doen uw analyse. Alles VirtualizingHet lab architectuur die we tot nu toe besproken richt zich op het kopen van vier afzonderlijke machines en een hub, maar een nog niftier uitvoering omvat het gebruik van een virtuele omgeving voor verschillende besturingssystemen gelijktijdig op een enkele hardware-doos. Uitvoering van virtuele systemen kan ik op een host-besturingssysteem te installeren op een desktop of laptop computer en vervolgens een aantal gast-besturingssystemen op de top van het uit te voeren. De gastheer is gewoon een normale besturingssysteem, draait op mijn hardware. De beoordelingen van besturingssystemen, echter, zijn gewoon programma's die op de top van mijn host-besturingssysteem. Deze gasten zijn echte besturingssystemen tegelijkertijd draaien op de host, in dat zij kunnen zelf programma's uitvoeren en communiceren via een virtueel netwerk tussen al deze virtuele systemen samen. Elke gast besturingssysteem wordt uitgevoerd door een emulatie programma draaien op de host, en bestaat uit een paar bestanden binnen de gastheer. De beoordelingen van de systemen niet eens beseffen dat ze niet echt zijn! Ze denken dat ze zijn aparte systemen draaien op hun eigen hardware, maar ze zijn eigenlijk alleen maar het delen van een processor. Met behulp van deze aanpak, bouw ik drie of meer verschillende virtuele systemen en lopen ze op dezelfde tijd op een enkele computer. Met behulp van een virtuele omgeving voor malware analyse is geen nieuw idee. Inderdaad, onderzoekers bij IBM verricht een aantal zeer toekomstgericht werken aan malware analyse met behulp van een virtuele machine omgeving terug in 2000. Ik gebruik soortgelijke begrippen in mijn eigen lab. Een verscheidenheid aan programma's beschikbaar waarmee je een enkele machine te zetten in een groot bedrijf verschillende besturingssystemen. Commerciële tools zoals VMWare (beschikbaar op www.vmware.com), Virtual PC (beschikbaar op www.connectix.com), En anderen emuleren een x86-processor in de software, zodat u kunt installeren en uitvoeren virtuele computers op de top van een enkele set van hardware. Er zijn zelfs freeware tools die dit doen, zoals de Plex86 Virtual Machine Project, op http://plex86.sourceforge.netEn Bochs project op http://bochs.sourceforge.net. Bovendien, als je wilt alleen voor Linux, kan het UML project meerdere, onafhankelijk draaien binnen Linux kernels van Linux processen op een Linux machine. UML is gratis beschikbaar op http://user-mode-linux.sourceforge.net. De schoonheid van deze virtuele uitvoering is dat ik mijn hele malware analyse laboratorium kunnen uitvoeren met mij op een laptop, en test kwaadaardige software op de weg. Voorts zijn de meeste van deze virtuele systeem tools kunt u eventuele wijzigingen terugdraaien om een virtuele machine zonder de wederopbouw van een systeem, onmiddellijk herstel van een gast-besturingssysteem naar de oorspronkelijke configuratie. Als sommige malware koninklijk messes tot een van mijn virtuele machines, zal ik direct de set het terug naar de oorspronkelijke staat. Daarom kan ik veilig kijken impact de malware op mijn (puur virtueel) netwerk, het houden van mijn gezond verstand tijdens het werken met een aantal zeer vervelende en buggy aanvaller code. Deze terugkeren functie is zeer nuttig. Ik kan zelfs bevriezen gast-besturingssystemen in hun sporen, schorsing van alle actie, terwijl ik analyseren wat de vervelende software doet. Natuurlijk, al deze virtuele machines draaien op hetzelfde moment moet de host-computer hardware beefier dan de relatief magere systemen beschreven in het laatste deel. Inderdaad, met voldoende RAM en CPU pk, kunt u bijna alles virtualiseren. Als u van plan op het runnen van een virtueel laboratorium malware analyse, adviseer ik ten minste een 2-GHz processor, met ten minste 64 MB RAM voor iedere gast besturingssysteem dat u van plan op draait. Daarom, als u wilt uitvoeren een enkele host-besturingssysteem en drie gasten, moet je 256 MB of meer RAM-geheugen. Omwille van het comfort is, zou u willen doorgaan en dat het RAM cijfer te verdubbelen tot 512 MB zodat uw systemen kunnen draaien op een redelijk tempo. Met virtuele besturingssystemen, het geheugen is de zuurstof die de machine ademhaling houdt. Voor mijn eigen draagbare virtueel laboratorium, gebruik ik de VMWare product. Het is een commercieel instrument, maar ik heb gevonden stabieler en flexibeler dan een aantal van de gratis virtuele systeem aanbod. heb ingesteld VMware op mijn Windows 2000 host-besturingssysteem te houden van een aantal verschillende systemen beoordelingen van de exploitatie, inclusief Windows XP, verschillende incarnaties van Red Hat Linux, FreeBSD en Windows 2000 Server. Ik kan lopen een of alle van deze gast besturingssystemen op hetzelfde moment, of op te schorten ze voor toekomstige analyse. Een virtuele omgeving is niet vereist voor de uitvoering van een malware analyse laboratorium, maar het kan zeker maken de analyse proces een stuk gemakkelijker en meer portable! een artikel afkomstig van Greg McKlein
|
|||||
|