Construindo um laboratório da análise de Malware
Deixe-nos primeiramente girar nossa atenção a construir um laboratório da análise do malware do niyour possuem muito. Os povos perguntam-me freqüentemente sobre o equipamento que necessitam fazer a análise do malware no repouso ou no escritório. Porque você download e testa vários programas defensivos e ofensivos, você necessitará um ambiente contínuo conduzir estas experiências freakish no seus próprios. Além da mera experimentação freelance, você pôde encontrar vários espécimes do malware no uso de encontro a seus próprios sistemas de produção no selvagem. Usando a estrutura do laboratório nós descreveremos nesta seção, você poderá picar e prod o software que malicioso você descobre de modo que você possa começar uma compreensão mais profunda de como os espécimes do malware trabalham e os danos puderam ter causado. Com um laboratório bom da análise do malware, você estará pronto quando o software nasty vem se chamando. Caveats: Usando sistemas de Nonproduction e permanecendo fora do InternetPrimeiramente, certifique-se que você constrói seu laboratório usando computadores extra que você não confia sobre para finalidades da produção. Se você for como mim, você estará instalando algum malware nocivo bonito nestas caixas, assim que você necessitará a abertura de ar elas fora de sua rede da produção. Estas máquinas não devem sempre ser conectadas a sua rede real ou ao Internet até que todo o software neles esteja destruído completamente com reformatting completo da movimentação dura. Também, não pense mesmo sobre armazenar nenhuns dados sensíveis nestes sistemas, porque alguns tipos do malware poderiam roubar estes dados ou corrupt os completamente. Estas caixas devem ser um laboratório e um playground da análise do malware somente. Todo o uso destas caixas em um ambiente da produção podia somente causar quantidades vastas de problema. Nunca, conecte sempre estas máquinas ao Internet. Você foi advertido! Adicionalmente, você quererá ter seu laboratório pronto para rolar na observação de um momento, no evento de uma emergência tal como um sem-fim rápido-espalhando que requeira a análise rápida. Você não quer tem que scrounge ao redor na hora real durante tal crise para caixas atuais da produção de usar-se em seu laboratório. Instead, aloce os sistemas apropriados e construa o laboratório adiantado assim que você pode conduzir a análise na mosca. Arquitetura Total Do LaboratórioCom aqueles caveats afastados, a notícia boa é que você pode construir um laboratório da análise do malware completamente em um custo baixo. Você não necessita a ferragem a mais atrasada do gee-whiz para seu laboratório. Um processador speedy e os gobs da RAM são agradáveis para ter, mas para não ser requerido. Instead, o equipamento em excesso velho de sua companhia ou de um auction acessível do Internet bastará. O objetivo aqui é meramente obter as máquinas que prenderão os sistemas se operando, um seleto poucas aplicações, e o malware a ser analisado. Tais exigências limitadas podem fàcilmente ser enchidas sem os sistemas computatorizados do plush. Para minha arquitetura do laboratório da análise do malware, eu uso quatro sistemas conectados junto. Eu recomendo que você constrói seu laboratório das máquinas com ao menos um processador de 350 megahertz, MB 64 da RAM, e uma movimentação dura de 5 GB. Cada sistema necessitará um cartão da rede, naturalmente, mas um Ethernet 10-Mbps simples bastará. Por padrões de hoje, estas caixas vintage-1997 devem ser abundantes e barato. Outra vez, se você puder fazer mais melhor do que esta linha de base, você terá um laboratório mais spiffier, mas não devastate seu orçamento em começar estes sistemas. Eu zumbi apenas sobre a meu local em linha favorito do auction, e vi que os sistemas desktop com este perfil da ferragem estão disponíveis para menos do que E. U.. $250.00 cada. Os laptops desta natureza podem ser snagged para em torno de E. U.. $400.00 cada. Agora, deixe-nos mover-se sobre para a ferragem do sistema operando-se e prestar serviços de manutenção à mistura. Como você pode ver, meu laboratório contem um sistema 2000 de Windows que funciona o web server de IIS de Microsoft. Muitos corporation confiam em Windows 2000, e os usuários de IIS são um alvo favorito do malware. Conseqüentemente, eu posso usar este sistema avaliar os sem-fins e o RootKits numerosos projetados para máquinas de Windows. Naturalmente, Windows 2000 é um sistema operando-se comercial, assim que você necessitará uma licença legitimate, que apenas possa ter sido incluída em sua compra da ferragem própria. Meu sistema seguinte é uma máquina de Linux, funcionando um ftp server e o web server de Apache. Apenas como com Windows e o IIS, muitos espécimes do malware alvejam especificamente instalações vulneráveis do ftp e do Apache, assim que eu quero estar pronto para analisá-las. Meu terceiro sistema é uma caixa de Windows.xp, configurarada para compartilhar de limas usando a lima interna de Windows que compartilha de mecanismos. Porque Windows.xp é um ambiente desktop comum para os usuários home e incorporados, eu posso testar o malware que alveja estes ambientes de usuário populares. Finalmente, para a variedade, eu incluí uma máquina com o sistema operando-se de OpenBSD. OpenBSD está começando a atenção aumentada devido a suas características internas significativas da segurança. Eu testo estas características funcionando um usuário do Network File System (NFS) nesta caixa. Em cada um dos sistemas em meu laboratório, eu instalei uma variedade das ferramentas do antivirus que podem ajudar identificar vários exemplos well-known do malware enquanto são carregados no sistema. Além disso, eu instalo a integridade da lima que verifico o software em cada máquina para monitorar limas e ajustes críticos do sistema caso o malware sob a análise tentar fazer mudanças. Quando eu analisar os critters evil, eu pude incapacitar o antivirus e a integridade da lima que verifica ferramentas temporariamente para começar mais introspecção, deixando meu pé fora do software freia. Entretanto, meu stance do defeito deve deixar estas ferramentas defensivas na operação, para controlar toda a contaminação dentro de meu laboratório até que eu me decida deixar o malware funcionar frouxamente. Eu conecto todas estas caixas que usam junto um cubo barato ou comuto-as. Eu prefiro realmente usar um cubo para meu laboratório, porque os cubos replicate pacotes a todos os sistemas conectados ao LAN. Que a maneira, mim pode funcionar um tubo aspirador em algumas de minhas máquinas laboratório-conectadas, e vê os pacotes emitidos por todo o outro sistema no LAN do laboratório. Se eu usar um interruptor, eu necessitarei configurarar um porto da extensão, que seja uma única conexão no interruptor que recebe todos os dados do LAN. Alguns dos interruptores mais baratos não têm mesmo uma opção para portos da extensão. Conseqüentemente, sua mais melhor aposta para o networking seu laboratório da análise do malware é o cubo humilde. Eu configurarei o networking de cada uma de minhas caixas do laboratório de modo que estivessem todos no mesmo LAN, usando um swath unregistered de endereços do IP na escala da rede 10.x.y.z. Eu uso 10.10.10.z no detalhe, simplesmente porque é fácil datilografar. Eu uso também um netmask de 255.255.255.0, que me permitiriam até 254 máquinas diferentes nesta rede. Agora, eu tenho muitos dos computadores em meu laboratório, mas eu não funcionei ainda fora dos endereços. Deve-se anotar que a flexibilidade e o pragmatism são características úteis de seu laboratório. Se um espécime brandnew do malware estiver liberado que me funcione de encontro a um ambiente do alvo não construir já, eu modificarei ràpidamente meu laboratório para suportar o tipo novo de alvo. Para o exemplo, se alguém liberar um ataque de encontro a um web server de Apache que funciona em Windows, em vez de meu usuário do defeito IIS, eu instalarei simplesmente Apache em uma de minhas máquinas de Windows para testar o pathogen novo. Criando um infrastructure do laboratório da linha de base do defeito que possa fàcilmente ser adaptado a outros ambientes, eu estou pronto para começar analisar quase qualquer coisa os guys maus para desencadear. Também, por favor não sinta que você tem que emular este laboratório da amostra no detalhe exato. Sinta livre variá-lo para servir suas próprias técnicas do ambiente e da análise. Se seu empregador usar um grande número máquinas de Solaris, jogue um sistema velho de Sparc na mistura, tal como um sistema barato de Sparc 5 (mais menos do que E. U.. $100.00 em uma casa de auction do Internet perto de você). Se você quiser verificar para fora de HP-UX, comece uma caixa velha do cavalo-força e inclua-a no laboratório. Não use minhas especificações do laboratório como um leash limitar seu laboratório; use minhas especs. como um ponto começar para seus próprios exploração e customization. Finalmente, mantenha na mente que você não tem que executar este laboratório em todo seu glory. Não se preocupe se você não puder ter recursos para diversos computadores; você poderá ainda analisar o malware. Se você não tivesse os fundos, você poderia criar uma versão júnior deste laboratório com apenas um único computador. Construa um duplo-carregador Windows e a máquina de Linux, instalando ambos os sistemas operando-se em uma única caixa assim que você pode comutar entre os dois com um reboot simples. Essa maneira, você poderá analisar o malware ao menos em um sistema. Você poderia mesmo descascar seu laboratório para baixo para promover. Se você quisesse focalizar apenas na análise do malware de Windows, você poderia também configurarar apenas uma única máquina de Windows, mandando a aprontar-se para fazer sua análise. Virtualizing TudoA arquitetura do laboratório nós discutimos focos assim distantes em comprar quatro máquinas separadas e um cubo, mas uma execução mesmo mais niftier envolve usar um ambiente virtual funcionar simultaneamente sistemas operando-se diferentes em uma única caixa da ferragem. Executar sistemas virtuais permite que eu instale um sistema operando-se do anfitrião em um único computador do desktop ou de laptop, e funcione então diversos sistemas operando-se do convidado no alto dele. O anfitrião é justo um sistema operando-se normal, funcionando em minha ferragem. Os sistemas operando-se do convidado, entretanto, são simplesmente os programas que funcionam no alto de meu sistema se operando do anfitrião. Estes convidados são sistemas operando-se verdadeiros que funcionam simultaneamente no anfitrião, que podem funcionar os programas eles mesmos e se comunicar através de uma rede virtual que conecta todos estes sistemas virtuais junto. Cada sistema operando-se do convidado é executado com um programa de emulation que funciona no anfitrião, e consiste em algumas limas dentro do anfitrião. Os sistemas do convidado não realizam mesmo que não são reais! Pensam que são sistemas separados que funcionam em sua própria ferragem, mas são realmente justos compartilhando de um processador. Usando esta aproximação, eu construo uns sistemas virtuais três ou mais diferentes e funciono-os ao mesmo tempo em um único computador. Usar um ambiente virtual para a análise do malware não é uma idéia nova. Certamente, os investigadores na IBM executaram algum muito para diante-olhar o trabalho na análise do malware usando uma parte traseira virtual do ambiente da máquina em 2000. Eu uso conceitos similares em meu próprio laboratório. Uma variedade dos programas está disponível que deixou-o girar uma única máquina em um anfitrião que prende diversos sistemas operando-se diferentes. As ferramentas comerciais gostam de VMWare (disponível em www.vmware.com), PC virtual (disponível em www.connectix.com), e outras emulam um processador x86 no software assim que você pode instalar e funcionar computadores virtuais no alto de um único jogo da ferragem. Há as ferramentas uniformes do freeware que fazem esta, tal como o projeto virtual da máquina Plex86, em http://plex86.sourceforge.net, e o projeto de Bochs em http://bochs.sourceforge.net. Além disso, se você quiser Linux somente, o projeto de UML pode funcionar o múltiplo, sementes independentes de Linux dentro dos processos de Linux em uma única máquina de Linux. UML está disponível para livre em http://user-mode-linux.sourceforge.net. A beleza desta execução virtual é que eu posso carregar meu laboratório inteiro da análise do malware com mim em um único laptop, e testa o software malicioso na estrada. Além disso, a maioria destas ferramentas virtuais do sistema permitem que você role para trás todas as mudanças a uma máquina virtual sem reconstruir um sistema, restaurando imediatamente um sistema operando-se do convidado a sua configuração original. Se algum malware messes real acima de uma de minhas máquinas virtuais, eu apenas ajustá-la-ei imediatamente para trás ao estado original. Conseqüentemente, eu posso com segurança prestar atenção ao impacto dos malware em minha rede (puramente virtual), mantendo meu sanity ao trabalhar com algum código do muito nasty e buggy do atacante. Isto revert a característica é immensely útil. Eu posso mesmo congelar sistemas operando-se do convidado em suas trilhas, suspendendo toda a ação quando eu analisar o que o software nasty está fazendo. Naturalmente, para funcionar ao mesmo tempo todas estas máquinas virtuais, a ferragem de computador do anfitrião deve ser mais beefier do que os sistemas relativamente scrawny descritos na última seção. Certamente, com bastante cavalos-força da RAM e do processador central, você pode virtualize quase qualquer coisa. Se você pretender em funcionar um laboratório virtual da análise do malware, eu recomendo ao menos um processador de 2 gigahertz, com ao menos MB 64 da RAM para cada sistema que operando-se do convidado você pretende em funcionar. Conseqüentemente, se você quiser funcionar um sistema se operando do único anfitrião e três convidados, você deve ter MB 256 ou mais da RAM. Para a causa do conforto, você pôde querer ir adiante e dobrar essa figura da RAM a MB 512 assim que seus sistemas podem funcionar em um ritmo mais razoável. Com sistemas operando-se virtuais, a memória é o oxigênio que mantem respirar da máquina. Para meu próprio laboratório virtual portátil, eu uso o produto de VMWare. É uma ferramenta comercial, mas eu encontrei-a para ser mais estável e flexível do que alguns dos offerings virtuais livres do sistema. ' o ve ajustou acima VMware em meu sistema operando-se do anfitrião de Windows 2000 para prender um grupo de sistemas operando-se do convidado diferente, including Windows.xp, de vários incarnations do chapéu vermelho Linux, de FreeBSD, e de usuário 2000 de Windows. Eu posso funcionar alguns ou todos estes sistemas operando-se do convidado ao mesmo tempo, ou suspenda-os para a análise futura. Um ambiente virtual não é requerido executando um laboratório da análise do malware, mas pode certamente fazer o processo da análise muito mais fácil e mais portátil! este é um artigo adicionado por Greg McKlein
|
|||||
|