Errichten eines Malware Analyse Labors


  Share  
|

Lassen Sie uns zuerst unsere Aufmerksamkeit zum Errichten eines malware Analyse Labors von niyour drehen besitzen sehr. Leute häufig fragen mich nach der Ausrüstung, die sie malware Analyse im Büro zu Hause oder tun müssen. Da Sie verschiedene defensive und beleidigende Programme downloaden und prüfen, benötigen Sie ein festes Klima, diese freakish Experimente auf Ihren Selbst zu leiten. Über bloßem unabhängigem Experimentieren hinaus konnten Sie verschiedene malware Probestücke im Gebrauch gegen Ihre eigenen Produktion Systeme im wilden antreffen. Mit der Laborstruktur beschreiben wir in diesem Abschnitt,SIND Sie in der Lage, die böswillige Software zu stoßen und zu stoßen, die Sie entdecken, damit Sie ein tieferes Verständnis von, wie die malware Probestücke und arbeiten, die Beschädigung erhalten können sie verursacht haben konnten. Mit einem guten malware Analyse Labor sind Sie bereit, wenn böse Software benennend kommt.

Einsprüche: Nonproduction Systeme verwenden und vom Internet weg bleibend

Zuerst stellen Sie sicher, daß Sie Ihr Labor mit Extracomputern konstruieren, daß Sie an nicht zu den Produktion Zwecken bauen. Wenn Sie wie ich sind, werden Sie etwas hübsches schädliches malware auf diese Kästen anbringen, also benötigen Sie Luftfunkenstrecke sie weg Ihres Produktion Netzes. Diese Maschinen sollten nicht an Ihr reales Netz oder das Internet überhaupt angeschlossen werden, bis alle Software in ihnen vollständig mit einer vollständigen Umformatierung des Festplattenlaufwerks zerstört ist. Auch nicht sogar denken Sie an die Speicherung irgendwelcher empfindlichen Daten auf diesen Systemen, da etwas malware Arten diese Daten stehlen oder sie gänzlich verderben konnten. Diese Kästen sollten nur ein malware Analyse Labor und ein Spielplatz sein. Jeder möglicher Gebrauch dieser Kästen in einem Produktion Klima konnte beträchtliche Mengen Mühe nur verursachen. Nie schließen Sie überhaupt diese Maschinen an das Internet an. Sie sind gewarnt worden!

Zusätzlich wünschen Sie Ihr Labor haben, das bereit ist, an der Nachricht eines Momentes, im Falle einer Dringlichkeit wie eine schnell-ausgebreitete Endlosschraube zu rollen, die schnelle Analyse erfordert. Sie möchten nicht scrounge in der Realzeit während solch einer Krise müssen, damit gegenwärtige Produktion Kästen herum in Ihrem Labor verwenden. Stattdessen teilen Sie die passenden Systeme zu und errichten Sie das Labor im voraus, also können Sie Analyse schnell leiten.

Gesamte Laborarchitektur

Mit jenen schwer zugänglichen Einsprüchen, sind die guten Nachrichten, daß Sie ein malware Analyse Labor an niedrigen Kosten durchaus errichten können. Sie benötigen nicht die neuesten gee-whiz Kleinteile für Ihr Labor. Ein schneller Prozessor und gobs von RAM sind nett zu haben, aber nicht erfordert zu werden. Stattdessen versteigern alte überschüssige Ausrüstung von Ihrer Firma oder ein handliches Internet genügen. Das Ziel hier ist bloß, Maschinen zu erhalten, die die Betriebssysteme, ein auserwähltes wenige Anwendungen und das analysiert zu werden malware halten. Solche begrenzte Anforderungen können ohne Plüschcomputersysteme leicht gefüllt werden.

Für meine malware Analyse Laborarchitektur benutze ich vier Systeme zusammen angeschlossen. Ich empfehle, daß Sie Ihr Labor von den Maschinen mit mindestens einem 350 MHZ Prozessor errichten, MB 64 von RAM und ein 5 GBS Festplattenlaufwerk. Jedes System benötigt eine Netzkarte, selbstverständlich aber ein einfaches Ethernet 10-Mbps genügt. Durch heutige Standards sollten diese Kästen vintage-1997 reichlich sein und billig. Wieder wenn Sie tun können besser als diese Grundlinie, haben Sie ein spiffier Labor, aber verwüsten nicht Ihren Etat, wenn Sie diese Systeme erhalten. Ich zoomed gerade rüber zu meinem Lieblingson-line versteigere Aufstellungsort und sah, daß desktop Systeme mit diesem Kleinteilprofil für kleiner als US vorhanden sind. $250.00 je. Laptope dieser Natur können sein snagged für um US. $400.00 je.

Jetzt lassen Sie uns auf die Betriebssystemkleinteile an bewegen und Mischung instandhalten. Wie Sie sehen können, enthält mein Labor ein Windows 2000system, das web server IIS Microsoft laufen läßt. Viele Korporationen beruhen auf Windows 2000, und IIS Bediener sind ein Lieblingsmalware Ziel. Folglich kann ich dieses System benutzen, um die zahlreichen Endlosschrauben und das RootKits auszuwerten, die für Windows Maschinen bestimmt sind. Selbstverständlich ist Windows 2000 ein kommerzielles Betriebssystem, also benötigen Sie eine gesetzmaßige Lizenz, die in Ihrem Erwerb der Kleinteile selbst gerade eingeschlossen worden sein konnte.

Mein folgendes System ist eine Linux Maschine und läßt ein ftp server und das Apache web server laufen. Gerade wie mit Windows und IIS, zielen viele malware Probestücke spezifisch verletzbare ftp und Apache Installationen, also möchte ich bereit sein, sie zu analysieren. Mein drittes System ist ein Windows.xp Kasten, zusammengebaut, um Akten mit der eingebauten Windows Akte zu teilen, die Einheiten teilt. Weil Windows.xp ein allgemeines desktop Klima für die Haupt- und korporativen Benutzer ist, kann ich malware prüfen, das diese populären Anwenderkonfigurationen zielt. Schließlich für Vielzahl, habe ich eine Maschine mit dem OpenBSD Betriebssystem miteingeschlossen. OpenBSD erhält erhöhte Aufmerksamkeit wegen seiner bedeutenden eingebauten Sicherheit Eigenschaften. Ich prüfe diese Eigenschaften, indem ich einen Bediener des Network File System (NFS) auf diesem Kasten laufen lasse.

Auf jedem der Systeme in meinem Labor, habe ich eine Vielzahl der antivirus Werkzeuge angebracht, die helfen können, verschiedene weithin bekannte malware Beispiele zu kennzeichnen, während sie auf das System geladen werden. Ausserdem bringe ich Akte Vollständigkeit Software überprüfend auf jede Maschine, um kritische Akten und System Einstellungen zu überwachen an, im Falle daß malware unter Analyse versucht, Änderungen vorzunehmen. Während ich die schlechten Lebewesen analysiere, konnte ich das antivirus sperren und die Akte Vollständigkeit, die vorübergehend Werkzeuge überprüft, um mehr Einblick, meinen Fuß weg der Software lassend zu erhalten, bremst. Jedoch soll meine Rückstellung Position diese defensiven Werkzeuge in Kraft lassen, um jede mögliche Verschmutzung innerhalb meines Labors zu steuern, bis ich lasse das malware lose laufen entscheide.

Ich schließe alle diese Kästen an, die zusammen eine preiswerte Nabe verwenden oder schalte. Ich ziehe wirklich es vor, eine Nabe für mein Labor zu verwenden, weil Naben Pakete zu allen Systemen wiederholen, die an den LAN angeschlossen werden. Daß Weise, ich einen Sauganleger auf irgendwelchen meiner Labor-verbundenen Maschinen laufen lassen kann und die Pakete sieht, die durch jedes mögliches andere System auf dem Labor-LAN gesendet werden. Wenn ich einen Schalter benutze, muß ich ein Überspannung Tor zusammenbauen, das ein einzelner Anschluß auf dem Schalter ist, der alle Daten vom LAN empfängt. Einige der preiswerteren Schalter nicht sogar haben eine Wahl für Überspannung Tore. Folglich ist Ihre beste Wette für Netzwerkanschluß Ihr malware Analyse Labor die niedrige Nabe. Ich habe den Netzwerkanschluß von jedem meiner Laborkästen, damit alle sie auf dem gleichen LAN sind- mit einer nicht registrierten Schwade der IP Adressen in der Strecke des Netzes 10.x.y.z zusammengebaut. Ich verwende 10.10.10.z insbesondere, einfach, weil zu schreiben ist einfach. Ich benutze auch ein netmask von 255.255.255.0, die mir bis 254 unterschiedliche Maschinen in diesem Netz zugestehen würden. Jetzt habe ich eine Menge Computer in meinem Labor, aber ich bin nicht noch aus Adressen heraus gelaufen.

Es sollte gemerkt werden, daß Flexibilität und Pragmatismus nützliche Eigenschaften Ihres Labors ist. Wenn ein nagelneues malware Probestück, das gegen ein Zielklima mich laufen läßt, haben nicht bereits errichtet freigegeben wird, ändere ich schnell mein Labor, um die neue Art des Ziels zu stützen. Z.B. wenn jemand einen Angriff gegen ein Apache web server freigibt, das auf Windows, anstelle von meinem Rückstellung IIS Bediener läuft, bringe ich einfach Apache auf eine meiner Windows Maschinen an, um den neuen Krankheitserreger zu prüfen. Indem ich eine Rückstellung Grundlinie Laborinfrastruktur verursache, die anderen Klimas leicht angepaßt werden kann, bin ich bereit zu beginnen, fast alles die schlechten Kerle unleash zu analysieren.

Auch bitte glauben Sie nicht, daß Sie dieses Beispiellabor ausführlich genaues emulieren müssen. Fühlen Sie frei, es zu verändern, um Ihren eigenen Klima- und Analysentechniken zu entsprechen. Wenn Ihr Arbeitgeber viele Solaris Maschinen benutzt, werfen Sie ein altes Sparc System in die Mischung, wie ein preiswertes Sparc 5 System (weniger als US. $100.00 an einem Internet versteigern Haus nahe Ihnen). Wenn Sie aus HP-UX überprüfen möchten, erhalten Sie einen alten HP Kasten und schließen Sie ihn im Labor mit ein. Verwenden Sie meine Laborspezifikationen nicht als Leine, um Ihr Labor zu begrenzen; verwenden Sie meine Spezifikt. als Ausgangspunkt für Ihre eigene Erforschung und Kundenbezogenheit.

Schließlich halten Sie im Verstand, daß Sie nicht dieses Labor in seinem ganzem Ruhm einführen müssen. Sorgen Sie sich nicht, wenn Sie nicht einige Computer sich leisten können; SieSIND noch in der Lage, malware zu analysieren. Wenn Sie nicht die Kapital haben, konnten Sie eine Juniorversion dieses Labors mit gerade einem einzelnen Computer verursachen. Errichten Sie eine Doppel-Aufladung Windows und die Linux Maschine und beide Betriebssysteme auf einen einzelnen Kasten anbringen, also können Sie zwischen die zwei mit einem einfachen Neuladen schalten. So,SIND Sie in der Lage, malware auf mindestens einem System zu analysieren. Sie konnten Ihr Labor sogar unten abstreifen zu fördern. Wenn Sie auf Windows malware Analyse gerade konzentrieren möchten, konnten Sie gerade eine einzelne Windows Maschine auch zusammenbauen und sie vorbereiten lassen, um Ihre Analyse zu tun.

Virtualizing Alles

Die Laborarchitektur haben wir bis jetzt Foki auf dem Kaufen von von vier verschiedenen Maschinen und von von Nabe besprochen, aber eine sogar geschicktere Implementierung bezieht mit ein, ein virtuelles Klima zu verwenden, um unterschiedliche Betriebssysteme auf einen einzelnen Kleinteilkasten gleichzeitig laufen zu lassen. Das Einführen der virtuellen Systeme erlaubt mir, ein Wirt Betriebssystem auf einen einzelnen Schreibtisch oder eine Laptop-Computer anzubringen, und einige Betriebssysteme des Gastes auf es dann laufen zu lassen. Der Wirt ist ein normales Betriebssystem gerecht und läuft auf meine Kleinteile. Die Betriebssysteme des Gastes sind jedoch einfach Programme, die auf mein Wirt Betriebssystem laufen. Diese Gäste sind die zutreffenden Betriebssysteme, die gleichzeitig auf den Wirt, dadurch laufen, daß sie Programme selbst laufen lassen und über einem virtuellen Netz in Verbindung stehen können, das zusammen alle diese virtuellen Systeme anschließt. Jedes Betriebssystem des Gastes wird durch ein Emulationsprogramm eingeführt, das auf den Wirt läuft und besteht aus einigen Akten innerhalb des Wirtes. Die Gastsysteme nicht sogar stellen fest, daß sie nicht real sind! Sie denken, daß sie die unterschiedlichen Systeme sind, die auf ihre eigenen Kleinteile laufen, aber sie wirklich gerecht sind, einen Prozessor teilend. Mit dieser Annäherung errichte ich drei oder unterschiedlichere virtuelle Systeme und lasse sie gleichzeitig auf einem einzelnen Computer laufen.

Ein virtuelles Klima für malware Analyse zu verwenden ist nicht eine neue Idee. In der Tat führten Forscher an IBM etwas Arbeit über malware Analyse mit einer virtuellen Maschine Klimarückseite 2000 sehr Vorwärts-schauen durch. Ich verwende ähnliche Konzepte in meinem eigenen Labor.

Eine Vielzahl von Programmen ist daß ließ Sie eine einzelne Maschine zu einen Wirt machen vorhanden, der einige unterschiedliche Betriebssysteme hält. Kommerzielle Werkzeuge mögen VMWare (vorhanden an www.vmware.com), virtuellen PC (vorhanden an www.connectix.com), und andere emulieren einen Prozessor x86 in der Software, also können Sie virtuelle Computer auf einen einzelnen Satz Kleinteile anbringen und laufen lassen. Es gibt gleichmäßige Freewarewerkzeuge, die dies, wie das virtuelle Maschine Plex86 Projekt, an http://plex86.sourceforge.net tun, und das Bochs Projekt an http://bochs.sourceforge.net. Ausserdem wenn Sie nur Linux wünschen, das UML Projekt kann Mehrfachverbindungsstelle, unabhängige Linux Kerne laufen lassen innerhalb der Linux Prozesse auf einer einzelnen Linux Maschine. UML ist für freies an http://user-mode-linux.sourceforge.net vorhanden.

Die Schönheit dieser virtuellen Implementierung ist, daß ich mein gesamtes malware Analyse Labor mit mir auf einem einzelnen Laptop tragen kann, und prüft böswillige Software auf der Straße. Ausserdem erlauben die meisten diesen virtuellen System Werkzeugen Ihnen, alle mögliche Änderungen an einer virtuellen Maschine zurück zu rollen, ohne ein System umzubauen und sofort stellen ein Betriebssystem des Gastes zu seiner ursprünglichen Konfiguration wieder her. Wenn etwas malware königlich herauf eine meiner virtuellen Maschinen verwirrt, stelle ich gerade sie sofort zurück zu dem ursprünglichen Zustand ein. Folglich kann ich die Auswirkung der malwares auf mein (lediglich virtuelles) Netz sicher aufpassen und meine Vernunft beim Arbeiten halten mit irgendeinem Angreifercode sehr bösem und des Buggys. Dieses schalten Eigenschaft ist unermeßlich nützlich um. Ich kann Betriebssysteme des Gastes in ihren Schienen sogar einfrieren und alle Tätigkeit verschieben, während ich analysiere, was die böse Software tut.

Selbstverständlich um alle diese virtuellen Maschinen gleichzeitig laufen zu lassen, müssen die Host-Computer Kleinteile als die verhältnismäßig hageren Systeme beefier sein, die im letzten Abschnitt beschrieben werden. In der Tat mit genügenden RAM- und CPU-Pferdestärken, können Sie virtualize fast alles. Wenn Sie auf dem Laufen lassen eines virtuellen malware Analyse Labors beabsichtigen, empfehle ich mindestens einen 2 Gigahertz Prozessor, mit mindestens MB 64 von RAM für jedes Betriebssystem des Gastes, das Sie auf dem Laufen beabsichtigen. Folglich wenn Sie ein einzelner Wirt Betriebssystem und drei Gäste laufen lassen möchten, sollten Sie MB 256 oder mehr von RAM haben. Für Grund des Komforts konnten Sie voran gehen und diese RAM-Abbildung zu MB 512 verdoppeln wünschen, also können Ihre Systeme an einem angemesseneren Schritt laufen. Mit virtuellen Betriebssystemen ist Gedächtnis der Sauerstoff, der die Maschine Atmung hält.

Für mein eigenes bewegliches virtuelles Labor benutze ich das VMWare Produkt. Es ist ein kommerzielles Werkzeug, aber ich habe es gefunden, um als einige der freien virtuellen System Opfer beständiger und flexibel zu sein. ' ve stellte VMware auf meinem Windows 2000wirt Betriebssystem auf, um ein Bündel der Betriebssysteme des unterschiedlichen Gastes, einschließlich Windows.xp, der verschiedenen Inkarnationen des roten Hutes Linux, des FreeBSD und des Windows- 2000bedieners zu halten. Ich kann irgendwelche oder alle diese Betriebssysteme des Gastes gleichzeitig laufen lassen, oder verschieben Sie sie für zukünftige Analyse. Ein virtuelles Klima wird nicht für das Einführen eines malware Analyse Labors angefordert, aber es kann den Analyse Prozeß viel einfacher und beweglicher zweifellos bilden!

dieses ist ein Artikel, der von Greg McKlein hinzugefügt wird


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions