Building a Malware Analysis Laboratory
La oss først slå vår oppmerksomhet til å bygge en malware analyse laboratorium niyour egen. Folk spør meg ofte om det utstyret de trenger å gjøre malware analysis hjemme eller på kontoret. Som du laste ned og teste diverse defensive og offensive programmer, trenger du en robust miljø for å utføre disse uvanlig eksperimenter på egen hånd. Utover mere freelance eksperimentering, kan det oppstå forskjellige malware eksemplarer i bruk mot dine egne produksjonssystemer i naturen. Bruke laboratoriet strukturen vi beskriver i denne delen, vil du kunne rote og prod den skadelige programvaren du oppdage at du kan få en dypere forståelse av hvordan malware prøver arbeidet og skaden de kan ha forårsaket. Med en god malware analyse laboratorium, vil du være klar når ekkel programvare leveres ringer. Advarsler: Bruke Nonproduction systemer og holde ut på InternettFørst, må du bygge din lab med ekstra datamaskiner som du ikke stole på for produksjon formål. Hvis du er som meg, blir du installere noen ganske helsefarlige malware på disse boksene, så du må luftspalte dem av din produksjon nettverket. Disse maskinene skal ikke alltid være koblet til din virkelige nettverk eller Internett til all programvare på dem er helt ødelagt med en grundig reformatering av harddisken. Også, ikke engang tenker på å lagre sensitive data på disse systemene, som noen typer malware kunne stjele disse dataene eller ødelagt det grundig. Disse boksene skal være et malware analyse lab og lekeplass bare. Enhver bruk av disse boksene i et produksjonsmiljø bare kunne føre til store mengder problemer. Aldri, aldri koble disse maskinene til Internett. Du har blitt advart! I tillegg bør du ha din lab klar til å rulle på et øyeblikks varsel, i tilfelle en nødsituasjon, for eksempel en rask spredning av ormen som krever rask analyse. Du ønsker ikke å måtte scrounge rundt i sanntid under en slik krise på nåværende produksjon bokser til bruk i laboratoriet ditt. I stedet bevilger de nødvendige systemer og bygge laboratoriet på forhånd slik at du kan utføre analyse på sparket. Overall Lab ArchitectureMed de begrensninger ut av veien, er den gode nyheten er at du kan bygge en malware analyse laboratorium ved ganske lav kostnad. Du trenger ikke de nyeste gee-whiz maskinvare for lab din. En rask prosessor og gobs RAM er fin å ha, men er ikke nødvendig. I stedet gammelt utstyr overskudd fra selskapet eller en praktisk Internett-auksjonen vil nok. Målet her er bare for å få maskiner som vil holde operativsystemer, noen utvalgte programmer, og malware som skal analyseres. Slike begrensede krav lett kan fylles uten plysj datasystemer. For min malware laboratorium for arkitektur, bruker jeg fire systemene er koblet sammen. Jeg anbefaler at du bygger din laboratoriet fra maskiner med minst en 350 MHz prosessor, 64 MB RAM, og 5 en GB harddisk. Hvert system vil ha et nettverkskort, selvfølgelig, men en enkel 10-Mbps Ethernet vil være nok. Etter dagens standard, bør disse vintage-1997 boksene være rikelig og billig. Igjen, hvis du kan gjøre bedre enn det opprinnelige, vil du ha en spiffier lab, men ikke herje budsjettet i å få disse systemene. Jeg zoomet over til min favoritt on-line auksjon på, og så at desktop-systemer med denne maskinvaren profilen er tilgjengelig for mindre enn US $ 250.00 hver. Laptops av denne art kan være snagged for rundt US $ 400.00 hver. Nå, la oss gå videre til operativsystemet maskinvare og service mix. Som du kan se, inneholder min lab et Windows 2000-system som kjører Microsoft IIS webserver. Mange bedrifter er avhengige av Windows 2000 og IIS-servere er en favoritt malware mål. Derfor kan jeg bruke dette systemet til å vurdere de mange ormer og rootkits utviklet for Windows maskiner. Selvfølgelig er Windows 2000 et kommersielt operativsystem, så du trenger en lovlig lisens, som bare kunne ha vært inkludert i kjøpet av selve maskinvaren. Min neste systemet er en Linux-maskin, som kjører en FTP-server og Apache webserver. Akkurat som med Windows og IIS, mange malware eksemplarer spesielt sårbare FTP og Apache installasjoner, så jeg vil være klar til å analysere dem. Min tredje systemet er en Windows XP-boksen er konfigurert til å dele filer med den innebygde i Windows fildeling mekanismer. Fordi Windows XP er en vanlig desktop miljø for både hjem og bedriftsbrukere, kan jeg teste malware som er rettet mot disse populære brukeren miljøer. Til slutt, for variasjon, har jeg tatt med en maskin med OpenBSD-operativsystemet. OpenBSD er å få økt oppmerksomhet på grunn av sin betydelige innebygde sikkerhetsfunksjoner. Jeg teste disse funksjonene ved å kjøre en Network File System (NFS) server på denne boksen. På hver av systemene i laboratoriet mitt, jeg har installert en rekke antivirus-verktøy som kan bidra til å identifisere ulike velkjente malware eksemplene som de lastes inn i systemet. Videre installerer jeg filen integritet sjekker programvare på hver maskin for å overvåke kritiske filer og systeminnstillinger i tilfelle at malware under analysen forsøker å gjøre endringer. Mens jeg analysere den onde gnagerne, kan jeg deaktivere antivirus og fil integritet avmerker verktøy for midlertidig å få mer innsikt, slik at foten min ut av programvaren bremser. Imidlertid er min standard holdning til å la disse defensive verktøyene i drift, for å kontrollere eventuelle forurensninger i laboratoriet mitt før jeg bestemmer meg for å la malware løpe løs. Jeg kobler alle disse boksene sammen med en billig hub eller switch. Jeg faktisk foretrekker å bruke en hub for lab min, fordi huber replikere pakker til alle systemer koblet til LAN. På den måten kan jeg kjøre en sniffer på noe av lab min-tilkoblede maskiner, og se pakker sendt av noe annet system på laboratoriet LAN. Hvis jeg bruker en bryter, jeg må konfigurere et spenn port, som er en enkelt tilkobling på bryteren som mottar alle data fra LAN. Noen av de billigere svitsjer trenger ikke engang et alternativ for span porter. Derfor er din beste alternativet for nettverksbygging din malware analysis laboratoriet ydmyk hub. Jeg har konfigurert nettverk av hver av mine lab boksene slik at de alle er på samme LAN, ved hjelp av en uregistrert skjæreplater av IP-adresser i 10.xyz nettverket rekkevidde. Jeg bruker 10.10.10.z spesielt, bare fordi det er enkelt å skrive. Jeg bruker også en av netmask 255.255.255.0, som ville tillate meg opp til 254 forskjellige maskiner i dette nettverket. Nå har jeg en masse maskiner i laboratoriet mitt, men jeg har ennå ikke går tom for adresser. Det bør bemerkes at fleksibilitet og pragmatisme er nyttige egenskaper lab din. Hvis en splitter ny malware eksemplar er utgitt som kjører mot et mål miljø jeg ikke allerede har bygget, skal jeg raskt endre mitt laboratorium for å støtte den nye typen mål. For eksempel, hvis noen utgivelser et angrep mot en Apache webserver kjører på Windows, i stedet for standard IIS-server, kan jeg bare installere Apache på en av Windows-maskiner for å teste den nye patogen. Ved å opprette en standard baseline lab infrastruktur som enkelt kan tilpasses andre miljøer, er jeg klar til å begynne å analysere nærmere hva skurkene utløse. Dessuten må du ikke føler at man må emulere denne prøven lab i nøyaktig detalj. Føl deg fri til å variere det som passer ditt eget miljø og analyse teknikker. Hvis din arbeidsgiver bruker et stort antall av Solaris-maskiner, kaste en gammel Sparc-system i miksen, for eksempel et billig Sparc 5-system (mindre enn US $ 100.00 hos en Internett auksjonshuset nær deg). Dersom du ønsker å sjekke ut HP-UX, få en gammel HP-boks og inkludere den i laboratoriet. Ikke bruk meg lab spesifikasjoner som et bånd for å begrense lab; bruke min spesifikasjoner som utgangspunkt for din egen leting og tilpasning. Til slutt, husk at du ikke trenger å gjennomføre dette laboratoriet i all sin prakt. Ikke bekymre deg hvis du ikke har råd til flere datamaskiner; vil du fortsatt kunne analysere ondsinnet programvare. Hvis du ikke har penger, kan du opprette en yngre versjon av dette laboratoriet med bare en enkelt datamaskin. Bygg en dual-boot Windows og Linux-maskin, installere både operativsystem på en enkelt boks slik at du kan veksle mellom de to med en enkel omstart. På den måten vil du kunne analysere malware på minst ett system. Du kan også kle din lab nærmere. Hvis du ønsker å bare fokusere på Windows malware analyse, kan du også konfigurere bare en enkelt Windows-maskin, ha den klar til å gjøre din analyse. Virtualisere altLaboratoriet arkitekturen vi har diskutert så langt fokuserer på å kjøpe fire separate maskiner og en hub, men en enda niftier implementering innebærer å bruke et virtuelt miljø for å kjøre forskjellige operativsystemer samtidig på en enkelt maskin boks. Implementering av virtuelle systemer tillater meg å installere en mengde operativsystem på en enkelt stasjonær eller bærbar datamaskin, og deretter kjøre flere gjest operativsystemer på toppen av det. Verten er bare en vanlig operativsystem som kjører på maskinvare min. Gjestene operativsystemer, er imidlertid bare programmer som kjører på toppen av min host operativsystemet. Disse gjestene er sanne operativsystemene kjører samtidig på verten, ved at de kan kjøre programmer seg selv og kommunisere over et virtuelt nettverk å koble alle disse virtuelle systemene sammen. Hver gjest operativsystem er implementert gjennom en emulering program som kjører på verten, og består av noen filer i verten. Gjestene systemene ikke engang klar over at de ikke er ekte! De tror de er separate systemer som kjører på deres egen maskinvare, men de er egentlig bare å dele én prosessor. Ved hjelp av denne tilnærmingen, bygger jeg tre eller flere ulike virtuelle systemer og kjøre dem samtidig på en enkelt datamaskin. Ved hjelp av et virtuelt miljø for malware analyse er ikke en ny idé. Ja, forskere ved IBM utført noen veldig fremtidsrettet arbeid på malware analyse ved hjelp av en virtuell maskin miljø tilbake i 2000. Jeg bruker tilsvarende begreper i min egen lab. En rekke programmer er tilgjengelige som lar deg slå én maskin til en maskin som holder flere ulike operativsystemer. Kommersielle verktøy som VMWare (tilgjengelig på www.vmware.com), Virtual PC (tilgjengelig på www.connectix.com), Og andre etterligne en x86-prosessor i programvaren, slik at du kan installere og kjøre virtuelle maskiner på toppen av et enkelt sett med hardware. Det er også freeware verktøy som gjør dette, for eksempel Plex86 Virtual Machine Project, klokka http://plex86.sourceforge.net, Og Bochs prosjektet på http://bochs.sourceforge.net. Videre, hvis du vil ha Linux bare kan UML prosjektet kjøre flere, uavhengig Linux-kjerner innsiden av Linux prosesser på en enkelt Linux-maskin. UML er tilgjengelig gratis på http://user-mode-linux.sourceforge.net. Skjønnheten i dette virtuelle gjennomføringen er at jeg kan bære hele mitt malware analysis lab med meg på en enkelt bærbar PC, og teste skadelig programvare på veien. Videre er de fleste av disse virtuelle systemet verktøyene gjør at du kan rulle tilbake endringer i en virtuell maskin uten å gjenoppbygge et system, umiddelbart gjenopprette en gjesten driftssystem til den opprinnelige konfigurasjonen. Hvis noen malware kongelig søl opp en av mine virtuelle maskiner, vil jeg bare kjapt å sette den tilbake til den opprinnelige tilstanden. Derfor kan jeg trygt se det malware innvirkning på meg (rent virtuelt) nettverk, holde meg sunn fornuft når du arbeider med noen veldig ekle og vogn angriperens kode. Dette går tilbake funksjonen er svært nyttig. Jeg kan også fryse gjest operativsystemer i sine spor, innstiller all handling mens jeg analysere hva ekkel programvare gjør. Of course, for å kjøre alle disse virtuelle maskiner samtidig, må vertsmaskinen maskinvaren være beefier enn den relativt skranglete systemene beskrevet i forrige avsnitt. Faktisk, med nok RAM og CPU hestekrefter, kan du virtualisere nesten hva som helst. Hvis du har tenkt til å kjøre en virtuell malware analyse laboratorium, anbefaler jeg minst en 2 GHz prosessor, med minst 64 MB RAM for hver gjest operativsystem du har tenkt på å kjøre. Derfor, hvis du vil kjøre et enkelt vertsoperativsystemet og tre gjester, bør du ha 256 MB RAM eller mer. For komfort skyld, kan du kanskje gå videre og dobbelt så RAM tallet til 512 MB slik at systemene kan kjøre på en mer fornuftig tempo. Med virtuelle operativsystemene, er minne oksygen som holder maskinen puste. For min egen bærbare virtuell lab, bruker jeg VMWare produktet. Det er et kommersielt verktøy, men jeg har funnet det å være mer stabil og fleksibel enn noen av de frie virtuelle systemet tilbud. har satt opp VMware på Windows 2000 vertsoperativsystemet å holde en samling av ulike gjest operativsystemer, inkludert Windows XP, ulike inkarnasjoner av Red Hat Linux, FreeBSD og Windows 2000 Server. Jeg kan kjøre noen eller alle disse gjest operativsystemene samtidig, eller utsette dem for fremtidig analyse. Et virtuelt miljø er ikke nødvendig for å gjennomføre en malware analyse laboratorium, men det kan selvfølgelig gjøre analysen prosessen mye enklere og mer portable! en artikkel presentert av Greg McKlein
|
|||||
|