Construcción de un laboratorio del análisis de Malware
Primero demos vuelta a nuestra atención a construir un laboratorio del análisis del malware del niyour muy poseen. La gente con frecuencia me pregunta acerca del equipo que ella necesita hacer análisis del malware en el país o en la oficina. Pues usted descarga y prueba varios programas defensivos y ofensivos, usted necesitará un ambiente sólido conducir estos experimentos monstruosos en sus el propios. Más allá de la experimentación independiente mera, usted puede ser que encuentre varios especímenes del malware en uso contra sus propios sistemas de producción en el salvaje. Usando la estructura del laboratorio describiremos en esta sección, usted podrá empujar y pinchar el software malévolo que usted descubre de modo que usted pueda conseguir una comprensión más profunda de cómo los especímenes del malware trabajan y el daño puede ser que hayan causado. Con un buen laboratorio del análisis del malware, usted será listo cuando viene el software repugnante llamando. Advertencias: Usando los sistemas de Nonproduction y permaneciendo apagado del InternetPrimero, cerciórese de que usted construya su laboratorio usando las computadoras adicionales que usted no confía encendido para los propósitos de la producción. Si usted es como mí, usted instalará un cierto malware nocivo bonito en estas cajas, así que usted necesitará boquete de aire ellas apagado de su red de la producción. Estas máquinas no se deben conectar siempre con su red verdadera o el Internet hasta que todo el software en ellos se destruye totalmente con un cambio de formato cuidadoso de la impulsión dura. También, incluso no piense de almacenar ningunos datos sensibles en estos sistemas, pues algunos tipos del malware podrían robar estos datos o corromperlos a fondo. Estas cajas deben ser un laboratorio y un patio del análisis del malware solamente. Cualquier uso de estas cajas en un ambiente de la producción podía causar solamente cantidades extensas de apuro. Nunca, conecte siempre estas máquinas con el Internet. ¡Le han advertido! Además, usted deseará tener su laboratorio listo rodar en el aviso de un momento, en el acontecimiento de una emergencia tal como un gusano ra'pido-que se separa que requiera análisis rápido. Usted no desea tener que scrounge alrededor en tiempo real durante tal crisis para que las cajas actuales de la producción utilicen en su laboratorio. En lugar, asigne los sistemas apropiados y construya el laboratorio por adelantado así que usted puede conducir análisis en marcha. Arquitectura Total Del LaboratorioCon esas advertencias apartadas, las buenas noticias son que usted puede construir un laboratorio del análisis del malware en absolutamente un bajo costo. Usted no necesita el hardware más último del gee-whiz para su laboratorio. Un procesador rápido y los gobs del ESPOLÓN son agradables tener, sino no ser requerido. En lugar, el viejo equipo de sobra de su compañía o de una subasta práctica del Internet será suficiente. La meta aquí es simplemente obtener las máquinas que llevarán a cabo los sistemas operativos, un selecto pocos usos, y el malware que se analizará. Tales requisitos limitados se pueden llenar fácilmente sin sistemas informáticos de la felpa. Para mi arquitectura del laboratorio del análisis del malware, utilizo cuatro sistemas conectados juntos. Recomiendo que usted construye su laboratorio de las máquinas con por lo menos un procesador de 350 megaciclos, MB 64 del ESPOLÓN, y una impulsión dura de 5 GB. Cada sistema necesitará una tarjeta de la red, por supuesto, solamente Ethernet simple 10-Mbps será suficiente. Por estándares de hoy, estas cajas vintage-1997 deben ser abundantes y barato. Una vez más si usted puede hacer mejor que esta línea de fondo, usted tendrá un laboratorio más spiffier, pero no devasta su presupuesto en conseguir estos sistemas. Acabo de enfocar encima a mi sitio en línea preferido de la subasta, y vi que los sistemas de escritorio con este perfil del hardware están disponibles para menos que los E.E.U.U.. $250.00 por cada uno. Las computadoras portátiles de esta naturaleza pueden ser snagged para alrededor de los E.E.U.U.. $400.00 por cada uno. Ahora, movámosnos encendido al hardware del sistema operativo y mantengamos la mezcla. Como usted puede ver, mi laboratorio contiene un sistema 2000 de Windows que funciona el servidor del Web de IIS de Microsoft. Muchas corporaciones confían en Windows 2000, y los servidores de IIS son una blanco preferida del malware. Por lo tanto, puedo utilizar este sistema para evaluar los gusanos y el RootKits numerosos diseñados para las máquinas de Windows. Por supuesto, Windows 2000 es un sistema operativo comercial, así que usted necesitará una licencia legítima, que apenas se pudo haber incluido en su compra del hardware sí mismo. Mi sistema siguiente es una máquina de Linux, funcionando un ftp server y el servidor del Web de Apache. Apenas como con Windows e IIS, muchos especímenes del malware apuntan específicamente instalaciones vulnerables del ftp y de Apache, así que deseo ser listo analizarlas. Mi tercer sistema es una caja de Windows.xp, configurada para compartir archivos usando el archivo incorporado de Windows que comparte mecanismos. Porque Windows.xp es un ambiente de escritorio común para los usuarios caseros y corporativos, puedo probar el malware que apunta estos ambientes de usuario populares. Finalmente, para la variedad, he incluido una máquina con el sistema operativo de OpenBSD. OpenBSD está consiguiendo la atención creciente debido a sus características incorporadas significativas de la seguridad. Pruebo estas características funcionando un servidor del Network File System (NFS) en esta caja. En cada uno de los sistemas en mi laboratorio, he instalado una variedad de herramientas del antivirus que pueden ayudar a identificar varios ejemplos bien conocidos del malware mientras que se cargan sobre el sistema. Además, instalo integridad del archivo que comprueba software en cada máquina para supervisar archivos y ajustes críticos del sistema en caso que el malware bajo análisis intente realizar cambios. Mientras que analizo los critters malvados, puede ser que inhabilite el antivirus y la integridad del archivo que comprueba las herramientas temporalmente para conseguir más penetración, dejando mi pie apagado del software frena. Sin embargo, mi postura del defecto es dejar estas herramientas en la operación defensivas, para controlar cualquier contaminación dentro de mi laboratorio hasta que decido dejo el malware funcionar flojamente. Conecto todas estas cajas junto que usan un cubo barato o cambio. Prefiero realmente el usar de un cubo para mi laboratorio, porque los cubos repliegan los paquetes a todos los sistemas conectados con el LAN. Que la manera, yo puede funcionar un succionador en cualesquiera de mis máquinas laboratorio-conectadas, y considera los paquetes enviados por cualquier otro sistema en el LAN del laboratorio. Si utilizo un interruptor, necesitaré configurar un puerto del palmo, que es una sola conexión en el interruptor que recibe todos los datos del LAN. Algunos de los interruptores más baratos incluso no tienen una opción para los puertos del palmo. Por lo tanto, su mejor apuesta para el establecimiento de una red su laboratorio del análisis del malware es el cubo humilde. He configurado el establecimiento de una red de cada uno de mis cajas del laboratorio de modo que estén todos en el mismo LAN, usando una andana sin registrar de las direcciones del IP en la gama de la red 10.x.y.z. Utilizo 10.10.10.z en detalle, simplemente porque es fácil mecanografiar. También utilizo un netmask de 255.255.255.0, que no me prohibirían hasta 254 diversas máquinas en esta red. Ahora, tengo muchos de computadoras en mi laboratorio, pero todavía no he funcionado de direcciones. Debe ser observado que la flexibilidad y el pragmatismo son características provechosas de su laboratorio. Si se lanza un espécimen brandnew del malware que me funciona contra un ambiente de la blanco no ha construido ya, modificaré rápidamente mi laboratorio para apoyar el nuevo tipo de blanco. Por ejemplo, si alguien lanza un ataque contra un servidor del Web de Apache que funciona contra Windows, en vez de mi servidor del defecto IIS, instalaré simplemente Apache en una de mis máquinas de Windows para probar el patógeno nuevo. Creando una infraestructura del laboratorio de la línea de fondo del defecto que se pueda adaptar fácilmente a otros ambientes, soy listo comenzar a analizar casi cualquier cosa los malos individuos para destraillar. También, no se sienta por favor que usted tiene que emular este laboratorio de la muestra en detalle exacto. Siéntase libre variarlo para satisfacer sus propias técnicas del ambiente y del análisis. Si su patrón utiliza una gran cantidad de máquinas de Solaris, lance un viejo sistema de Sparc en la mezcla, tal como un sistema barato de Sparc 5 (menos que los E.E.U.U.. $100.00 en una casa de subasta del Internet cerca de usted). Si usted desea comprobar fuera de HP-UX, consiga una vieja caja del HP e inclúyala en el laboratorio. No utilice mis especificaciones del laboratorio como leash para limitar su laboratorio; utilice mis espec. como punto de partida para su propia exploración y arreglo para requisitos particulares. Finalmente, tenga presente que usted no tiene que poner este laboratorio en ejecucio'n en toda su gloria. No se preocupe si usted no puede permitirse varias computadoras; usted todavía podrá analizar el malware. Si usted no tiene los fondos, usted podría crear una versión menor de este laboratorio con apenas una sola computadora. Construya un dual-cargador Windows y la máquina de Linux, instalando ambos sistemas operativos en una sola caja así que usted puede cambiar entre los dos con un reboot simple. Esa manera, usted podrá analizar el malware en por lo menos un sistema. Usted podría incluso pelar su laboratorio abajo para fomentar. Si usted desea apenas centrarse en análisis del malware de Windows, usted podría también configurar apenas una sola máquina de Windows, haciendo que aliste para hacer su análisis. Virtualizing TodoLa arquitectura del laboratorio hemos discutido hasta ahora focos en comprar cuatro máquinas separadas y un cubo, pero una puesta en práctica incluso más niftier implica el usar de un ambiente virtual para funcionar diversos sistemas operativos simultáneamente en una sola caja del hardware. Poner sistemas en ejecucio'n virtuales permite que instale un sistema operativo del anfitrión en una sola computadora del tablero del escritorio o de computadora portátil, y después que funcione varios sistemas operativos de la huésped encima de él. El anfitrión es justo un sistema operativo normal, funcionando en mi hardware. Los sistemas operativos de la huésped, sin embargo, son simplemente los programas que funcionan encima de mi sistema operativo del anfitrión. Estas huéspedes son sistemas operativos verdaderos que funcionan simultáneamente en el anfitrión, en que pueden funcionar los programas ellos mismos y comunicarse a través de una red virtual que conecta todos estos sistemas virtuales juntos. Cada sistema operativo de la huésped se pone en ejecucio'n con un programa de emulación que funciona en el anfitrión, y consiste en algunos archivos dentro del anfitrión. ¡Los sistemas de la huésped incluso no realizan que no son verdaderos! Piensan que son sistemas separados que funcionan en su propio hardware, pero son realmente justos compartiendo un procesador. Usando este acercamiento, construyo sistemas virtuales tres o más diversos y los funciono en el mismo tiempo en una sola computadora. Usar un ambiente virtual para el análisis del malware no es una nueva idea. De hecho, los investigadores en la IBM realizaron cierto muy delantero-mirar el trabajo sobre análisis del malware usando una parte posteriora virtual del ambiente de la máquina en 2000. Utilizo conceptos similares en mi propio laboratorio. Una variedad de programas está disponible que le dejó dar vuelta a una sola máquina en un anfitrión que lleva a cabo varios diversos sistemas operativos. Las herramientas comerciales tienen gusto de VMWare (disponible en www.vmware.com), PC virtual (disponible en www.connectix.com), y otras emulan un procesador x86 en software así que usted puede instalar y funcionar las computadoras virtuales encima de un solo sistema de hardware. Hay las herramientas uniformes del freeware que hacen esto, tal como el proyecto virtual de la máquina Plex86, en http://plex86.sourceforge.net, y el proyecto de Bochs en http://bochs.sourceforge.net. Además, si usted desea Linux solamente, el proyecto de UML puede funcionar el múltiplo, núcleos independientes de Linux dentro de los procesos de Linux en una sola máquina de Linux. UML está disponible para libre en http://user-mode-linux.sourceforge.net. La belleza de esta puesta en práctica virtual es que puedo llevar mi laboratorio entero del análisis del malware con mí en una sola computadora portátil, y prueba software malévolo en el camino. Además, la mayoría de estas herramientas virtuales del sistema permiten que usted ruede detrás cualquier cambio a una máquina virtual sin la reconstrucción de un sistema, restaurando inmediatamente un sistema operativo de la huésped a su configuración original. Si un cierto malware real ensucia encima de una de mis máquinas virtuales, apenas lo fijaré inmediatamente de nuevo al estado original. Por lo tanto, puedo mirar con seguridad el impacto de los malware en mi red (puramente virtual), guardando mi cordura mientras que trabaja con un cierto código muy repugnante y cochecillo del atacante. Esto invierte la característica es inmenso útil. Puedo incluso congelar sistemas operativos de la huésped en sus pistas, suspendiendo toda la acción mientras que analizo lo que está haciendo el software repugnante. Por supuesto, hacer funcionar todas estas máquinas virtuales en el mismo tiempo, el hardware del ordenador huesped debe ser ma's beefier que los sistemas relativamente scrawny descritos en la sección pasada. De hecho, con bastantes caballos de fuerza del ESPOLÓN y de la CPU, usted puede virtualize casi cualquier cosa. Si usted piensa en el funcionamiento de un laboratorio virtual del análisis del malware, recomiendo por lo menos un procesador de 2 gigahertz, con por lo menos MB 64 del ESPOLÓN para cada sistema operativo de la huésped que usted piensa en el funcionamiento. Por lo tanto, si usted desea funcionar a un sistema operativo del solo anfitrión y a tres huéspedes, usted debe tener MB 256 o más del ESPOLÓN. Para el motivo de la comodidad, usted puede ser que desee ir a continuación y doblar esa figura del ESPOLÓN a MB 512 así que sus sistemas pueden funcionar en un paso más razonable. Con los sistemas operativos virtuales, la memoria es el oxígeno que guarda la respiración de la máquina. Para mi propio laboratorio virtual portable, utilizo el producto de VMWare. Es una herramienta comercial, pero la he encontrado para ser más estable y flexible que algunas de las ofrendas virtuales libres del sistema. el ' ve instaló VMware en mi sistema operativo del anfitrión de Windows 2000 para llevar a cabo un manojo de los sistemas operativos de diversa huésped, incluyendo Windows.xp, de las varias encarnaciones del sombrero rojo Linux, de FreeBSD, y del servidor 2000 de Windows. Puedo funcionar cualesquiera o todos estos sistemas operativos de la huésped en el mismo tiempo, o suspéndalos para el análisis futuro. ¡Un ambiente virtual no se requiere para poner un laboratorio del análisis en ejecucio'n del malware, sino que puede ciertamente hacer el proceso del análisis mucho más fácil y más portable! esto es un artículo agregado por Greg McKlein
|
|||||
|