Práticas recomendadas para isolar amostras de malware / honeypot

Navegue suas respostas
1

Estou pesquisando sobre malware e estou me perguntando quais são as práticas recomendadas para criar VMs seguras para conter o código e desmontá-lo. Até agora:

  1. Cada instância para examinar o código é armazenada em uma VM separada, com suporte de rede somente de host, para evitar que um código hostil escape da VM.
  2. Cada VM é totalmente corrigida e tem uma superfície de ataque mínima, excluindo todos os softwares / serviços desnecessários.

Quais outras etapas devo tomar para isolar as VMs ou endurecer as VMs? As VMs são o Win XP e o Win Vista.

Obrigado

    
por Scott Davies 19.09.2009 / 19:02

2 respostas

3

O que você está procurando é uma caixa de proteção contra malware, não um honeypot.

Eu recomendaria que a máquina host fosse um sistema operacional diferente do sandbox. Por exemplo, execute o Linux em sua VM e, em seguida, execute o malware em uma instalação do Windows dentro da VM linux. Seria chocante se o malware do Windows infectasse a caixa do Linux.

Na verdade, existe um sistema de código aberto chamado Zero Wine que você pode dar uma olhada.

Seu único objetivo é ajudar as pessoas a analisar malware em um ambiente contido.

Existem alguns produtos comerciais, como o Norman Sandbox Analyzer , que podem ser viáveis bem, dependendo do seu orçamento.

    
por 22.09.2009 / 01:09
-1

Não parece exatamente que você está trabalhando com um pote de mel, mas sim um sistema de teste para examinar malware.

Esteja ciente de que é possível que um malware saia da VM e até mesmo substitua o hipervisor da VM por um malicioso. Você precisará certificar-se de que o sistema no qual as VMs estão sendo executadas seja incapaz de causar danos a você - por exemplo, uma lacuna de ar entre ele e sua rede. Você também desejará backups do sistema em um estado limpo, antes de qualquer vírus e, provavelmente, de mídia de gravação única do que restaurar.

    
por 20.09.2009 / 18:26

Tags

Windows 7 - Área de Trabalho Remota - Salvar Credenciais… Salva o nome de usuário incorreto MOSS: Como mover / copiar modelos de um servidor para outro?