Construction d'un laboratoire d'analyse de Malware

Bookmark and Share this Article Original English article

D'abord tournons notre attention à construire un laboratoire d'analyse de malware de niyour possèdent très. Les gens m'interrogent fréquemment au sujet de l'équipement qu'ils doivent faire l'analyse de malware à la maison ou dans le bureau. Car vous téléchargez et examinez de divers programmes défensifs et blessants, vous aurez besoin d'un environnement plein pour entreprendre ces expériences capricieuses sur vos propres. Au delà de la seule expérimentation indépendante, vous pourriez rencontrer de divers spécimens de malware en service contre vos propres systèmes de production dans le sauvage. En utilisant la structure de laboratoire nous décrirons dans cette section, vous pourrez pousser et poignarder le logiciel malveillant que vous découvrez de sorte que vous puissiez obtenir un arrangement plus profond de la façon dont les spécimens de malware fonctionnent et les dommages ils pourraient avoir causés. Avec un bon laboratoire d'analyse de malware, vous serez prêt quand le logiciel méchant vient appelant.

Avertissements : En utilisant des systèmes de Nonproduction et restant au loin de l'Internet

D'abord, assurez-vous que vous construisez votre laboratoire à l'aide des ordinateurs supplémentaires que vous ne comptez pas dessus pour la production. Si vous êtes comme moi, vous installerez un certain joli malware nocif sur ces boîtes, ainsi vous aurez besoin de l'espace d'air elles au loin de votre réseau de production. Ces machines ne devraient pas jamais être reliées à votre vrai réseau ou à l'Internet jusqu'à ce que tout le logiciel sur eux soit complètement détruit avec une restructuration complète de la commande dure. En outre, ne pensez pas même à ne stocker aucune donnée sensible sur ces systèmes, car quelques types de malware pourraient voler ces données ou les corrompre complètement. Ces boîtes devraient être un laboratoire et une cour de jeu d'analyse de malware seulement. N'importe quelle utilisation de ces boîtes dans un environnement de production a pu seulement causer de vastes quantités d'ennui. Jamais, reliez jamais ces machines à l'Internet. Vous avez été averti !

En plus, vous voudrez avoir votre laboratoire prêt à rouler à la notification d'un moment, en cas d'une urgence telle qu'un ver depropagation qui exige l'analyse rapide. Vous ne voulez pas devoir scrounge autour en temps réel pendant une telle crise pour que les boîtes courantes de production emploient dans votre laboratoire. Au lieu de cela, assignez les systèmes appropriés et construisez le laboratoire à l'avance ainsi vous pouvez conduire l'analyse en marche.

Architecture Globale De Laboratoire

Avec ces avertissements à l'écart, les bonnes nouvelles sont que vous pouvez construire un laboratoire d'analyse de malware tout à fait à un bas coût. Vous n'avez pas besoin du dernier matériel de gee-whiz pour votre laboratoire. Un processeur prompt et les gobs de la RAM sont gentils d'avoir, mais de ne pas être exigés. Au lieu de cela, le vieil équipement en surplus de votre compagnie ou d'une enchère maniable d'Internet suffira. Le but ici est simplement d'obtenir les machines qui tiendront les logiciels d'exploitation, un choisi peu d'applications, et le malware à analyser. De telles conditions limitées peuvent être facilement remplies sans systèmes informatiques de peluche.

Pour ma architecture de laboratoire d'analyse de malware, j'emploie quatre systèmes reliés ensemble. Je recommande que vous construisez votre laboratoire des machines avec au moins un processeur de 350 mégahertz, le mb 64 de RAM, et une commande dure de 5 gigaoctets. Chaque système aura besoin d'une carte de réseau, naturellement, mais un Ethernet 10-Mbps simple suffira. Par des normes d'aujourd'hui, ces boîtes vintage-1997 devraient être abondantes et bon marché. Encore, si vous pouvez faire mieux que cette ligne de base, vous aurez un laboratoire plus spiffier, mais ne dévastez pas votre budget en obtenant ces systèmes. Je juste ai bourdonné plus d'à mon emplacement en ligne préféré d'enchère, et ai vu que les systèmes de bureau avec ce profil de matériel sont disponibles pour moins que les États-Unis. $250.00 pièce. Les ordinateurs portatifs de cette nature peuvent être snagged pour autour des États-Unis. $400.00 pièce.

Maintenant, passons au matériel de logiciel d'exploitation et entretenons le mélange. Comme vous pouvez voir, mon laboratoire contient un système 2000 de Windows courant le serveur de Web de l'IIS de Microsoft. Beaucoup de sociétés se fondent sur Windows 2000, et les serveurs d'IIS sont une cible préférée de malware. Par conséquent, je peux employer ce système pour évaluer les nombreux vers et RootKits conçus pour des machines de Windows. Naturellement, Windows 2000 est un logiciel d'exploitation commercial, ainsi vous aurez besoin d'un permis légitime, qui juste pourrait avoir été inclus dans votre achat du matériel lui-même.

Mon prochain système est une machine de Linux, courant un ftp server et le serveur de Web d'Apache. Juste comme avec Windows et IIS, beaucoup de spécimens de malware visent spécifiquement les installations vulnérables de ftp et d'Apache, ainsi je veux être prêt à les analyser. Mon troisième système est une boîte de Windows.xp, configurée pour partager des dossiers en utilisant le dossier intégré de Windows partageant des mécanismes. Puisque Windows.xp est un environnement de bureau commun pour les utilisateurs à la maison et de corporation, je peux examiner le malware qui vise ces environnements d'utilisateur populaires. En conclusion, pour la variété, j'ai inclus une machine avec le logiciel d'exploitation d'OpenBSD. OpenBSD obtient l'attention accrue due à ses dispositifs intégrés significatifs de sécurité. J'examine ces dispositifs en courant un serveur du Network File System (NFS) sur cette boîte.

Sur chacun des systèmes dans mon laboratoire, j'ai installé une variété d'outils d'antivirus qui peuvent aider à identifier de divers exemples bien connus de malware pendant qu'ils sont chargés sur le système. En outre, j'installe l'intégrité de dossier vérifiant le logiciel sur chaque machine pour surveiller les dossiers et les arrangements critiques de système au cas où le malware sous l'analyse essayerait de faire des changements. Tandis que j'analyse les créatures mauvaises, je pourrais neutraliser l'antivirus et l'intégrité de dossier vérifiant des outils temporairement pour obtenir plus d'perspicacité, laissant mon pied au loin du logiciel freine. Cependant, ma position de défaut doit laisser ces outils défensifs en fonction, pour commander n'importe quelle contamination dans mon laboratoire jusqu'à ce que je décide laisse le malware fonctionner lâchement.

Je relie toutes ces boîtes employant ensemble un moyeu bon marché ou commute. Je préfère réellement employer un moyeu pour mon laboratoire, parce que les moyeux replient des paquets à tous les systèmes reliés au LAN. Que la manière, je peut courir un renifleur sur un quelconque de mes machines laboratoire-reliées, et voit les paquets envoyés par n'importe quel autre système sur le LAN de laboratoire. Si j'utilise un commutateur, je devrai configurer un port d'envergure, qui est un raccordement simple sur le commutateur qui reçoit toutes les données du LAN. Certains des commutateurs meilleur marché n'ont pas même une option pour des ports d'envergure. Par conséquent, votre meilleur pari pour la gestion de réseau votre laboratoire d'analyse de malware est le moyeu modeste. J'ai configuré la gestion de réseau de chacune de mes boîtes de laboratoire de sorte qu'ils soient tous sur le même LAN, en utilisant un bandage non inscrit des adresses d'IP dans la gamme du réseau 10.x.y.z. J'emploie 10.10.10.z en particulier, simplement parce qu'il est facile de dactylographier. J'emploie également un netmask de 255.255.255.0, qui me permettraient jusqu'à 254 machines différentes sur ce réseau. Maintenant, j'ai beaucoup d'ordinateurs dans mon laboratoire, mais je n'ai pas encore manqué d'adresses.

Il convient noter que la flexibilité et le pragmatisme sont des caractéristiques utiles de votre laboratoire. Si on libère un spécimen nouveau de malware qui me court contre un environnement de cible n'ont pas déjà construit, je modifierai rapidement mon laboratoire pour soutenir le nouveau type de cible. Par exemple, si quelqu'un libère une attaque contre un serveur de Web d'Apache fonctionnant sur Windows, au lieu de mon serveur du défaut IIS, j'installerai simplement Apache sur une de mes machines de Windows pour tester le nouveau microbe pathogène. En créant une infrastructure de laboratoire de ligne de base de défaut qui peut être facilement adaptée à d'autres environnements, je suis prêt à commencer à analyser presque n'importe quoi les mauvais types pour lâcher.

En outre, svp n'estimez pas que vous devez émuler ce laboratoire témoin dans le détail exact. Sentez-vous libre pour le changer pour convenir à vos propres techniques d'environnement et d'analyse. Si votre employeur utilise un grand nombre de machines de Solaris, jetez un vieux système de Sparc dans le mélange, tel qu'un système bon marché de Sparc 5 (moins que les États-Unis. $100.00 à une maison des ventes aux-enchères d'Internet près de vous). Si vous voulez vérifier HP-UX, obtenez une vieille boîte de HP et incluez-la dans le laboratoire. N'employez pas mes caractéristiques de laboratoire comme laisse pour limiter votre laboratoire ; employez mes Spéc. comme point de départ pour votre propres exploration et personnalisation.

En conclusion, maintenez dans l'esprit que vous ne devez pas mettre en application ce laboratoire dans toute sa gloire. Ne vous inquiétez pas si vous ne pouvez pas vous permettre plusieurs ordinateurs ; vous pourrez toujours analyser le malware. Si vous n'avez pas les fonds, vous pourriez créer une version junior de ce laboratoire avec juste un ordinateur simple. Construisez un dual-initialisation Windows et la machine de Linux, installant les deux logiciels d'exploitation sur une boîte simple ainsi vous pouvez commuter entre les deux avec une réinitialisation simple. De cette façon, vous pourrez analyser le malware sur au moins un système. Vous pourriez même dépouiller votre laboratoire vers le bas pour promouvoir. Si vous voulez vous concentrer juste sur l'analyse de malware de Windows, vous pourriez également configurer juste une machine simple de Windows, la faisant préparer pour faire votre analyse.

Virtualizing Tout

L'architecture de laboratoire nous avons discuté jusqu'ici des foyers sur acheter quatre machines séparées et un moyeu, mais une exécution encore plus astucieuse implique d'employer un environnement virtuel pour exploiter différents logiciels d'exploitation simultanément sur une boîte simple de matériel. Mettre en application les systèmes virtuels me permet d'installer un logiciel d'exploitation de centre serveur sur un dessus de bureau ou un ordinateur portable simple, et puis d'exploiter plusieurs logiciels d'exploitation d'invité sur lui. Le centre serveur est juste un logiciel d'exploitation normal, fonctionnant sur mon matériel. Les logiciels d'exploitation d'invité, cependant, sont simplement des programmes qui fonctionnent sur mon logiciel d'exploitation de centre serveur. Ces invités sont les logiciels d'exploitation vrais fonctionnant simultanément sur le centre serveur, du fait ils peuvent exécuter les programmes eux-mêmes et communiquer à travers un réseau virtuel reliant tous ces systèmes virtuels ensemble. Chaque logiciel d'exploitation d'invité est mis en application par un programme d'émulation fonctionnant sur le centre serveur, et se compose de quelques dossiers dans le centre serveur. Les systèmes d'invité ne se rendent pas compte même qu'ils ne sont pas vrais ! Ils pensent qu'ils sont les systèmes séparés fonctionnant sur leur propre matériel, mais ils sont vraiment justes partageant un processeur. En utilisant cette approche, je construis des systèmes virtuels trois ou plus différents et les cours en même temps sur un ordinateur simple.

Employer un environnement virtuel pour l'analyse de malware n'est pas une nouvelle idée. En effet, les chercheurs à IBM ont effectué vers l'avant-regarder très du travail sur l'analyse de malware à l'aide d'un dos virtuel d'environnement de machine en 2000. J'emploie les concepts semblables dans mon propre laboratoire.

Une variété de programmes sont disponible que vous a laissé transformer une machine simple en centre serveur tenant plusieurs différents logiciels d'exploitation. Les outils commerciaux aiment VMWare (disponible à www.vmware.com), PC virtuel (disponible à www.connectix.com), et d'autres émulent un processeur x86 dans le logiciel ainsi vous pouvez installer et courir les ordinateurs virtuels sur un ensemble simple de matériel. Il y a des outils égaux de freeware qui font ceci, tel que le projet virtuel de la machine Plex86, à http://plex86.sourceforge.net, et le projet de Bochs à http://bochs.sourceforge.net. En outre, si vous voulez Linux seulement, le projet d'UML peut courir le multiple, grains indépendants de Linux à l'intérieur de des processus de Linux sur une machine simple de Linux. UML est disponible pour libre à http://user-mode-linux.sourceforge.net.

La beauté de cette exécution virtuelle est que je peux porter mon laboratoire entier d'analyse de malware avec moi sur un ordinateur portatif simple, et examine le logiciel malveillant sur la route. En outre, la plupart de ces outils virtuels de système vous permettent de rouler en arrière tous les changements à une machine virtuelle sans reconstruire un système, reconstituant immédiatement un logiciel d'exploitation d'invité à son configuration originale. Si un certain malware gâche royal une de mes machines virtuelles, je la placerai juste immédiatement de nouveau à l'état original. Par conséquent, je peux sans risque observer l'impact des malware sur mon réseau (purement virtuel), gardant ma santé d'esprit tout en travaillant avec un certain code très méchant et de boguet d'attaquant. Ceci retournent le dispositif est immensément utile. Je peux même geler les logiciels d'exploitation d'invité dans leurs voies, suspendant toute l'action tandis que j'analyse ce que le logiciel méchant fait.

Naturellement, pour courir toutes ces machines virtuelles en même temps, le matériel d'ordinateur principal doit être beefier que les systèmes relativement émacié décrits dans la dernière section. En effet, avec assez de puissances en chevaux de RAM et d'unité centrale de traitement, vous pouvez virtualize presque n'importe quoi. Si vous prévoyez sur diriger un laboratoire virtuel d'analyse de malware, je recommande au moins un processeur de 2 gigahertz, avec au moins le mb 64 de RAM pour chaque logiciel d'exploitation d'invité que vous prévoyez sur courir. Par conséquent, si vous voulez courir un logiciel d'exploitation de centre serveur simple et trois invités, vous devriez avoir le mb 256 ou plus de la RAM. Dans l'intéret du confort, vous pourriez vouloir avancer et doubler ce chiffre de RAM au mb 512 ainsi vos systèmes peuvent fonctionner à un rythme plus raisonnable. Avec les logiciels d'exploitation virtuels, la mémoire est l'oxygène qui garde la respiration de machine.

Pour mon propre laboratoire virtuel portatif, j'emploie le produit de VMWare. C'est un outil commercial, mais je l'ai trouvé pour être plus stable et flexible que certaines des offres virtuelles libres de système. l''ve a installé VMware sur mon logiciel d'exploitation de centre serveur de Windows 2000 pour tenir un groupe de logiciels d'exploitation d'invité différent, y compris Windows.xp, de diverses incarnations de chapeau rouge Linux, de FreeBSD, et de serveur 2000 de Windows. Je peux exploiter n'importe lequel ou tous ces logiciels d'exploitation d'invité en même temps, ou suspendez-les pour la future analyse. Un environnement virtuel n'est pas exigé pour mettre en application un laboratoire d'analyse de malware, mais il peut certainement rendre le processus d'analyse beaucoup plus facile et plus portatif !

c'est un article supplémentaire par Greg McKlein


Déni : Notre site Web n'est pas responsable de l'information contenue par cet article. Cet article reflète nullement les vues, les avis, les pensées ou la croyance du personnel d'annuaire d'articles.

Notification de traduction : L'article "construisant un laboratoire d'analyse de Malware" a été traduit en utilisant un service de traduction automatisé. Nous faisons des excuses sincèrement pour toutes les erreurs de traduction qui se sont produites. Merci de l'arrangement.

  Online: 1584 users browsing the articles directory © 2005-2010 E-articles.info All Rights Reserved.  
The articles and tutorials in the directory are property of their respective owners and authors.