恶意软件分析实验室设置
威胁是信息安全领域最具挑战性的领域之一,缺乏合格人员使得公司更难以保证其信息和资产的安全,并在不造成太大损失的情况下应对这种情况。恶意软件分析是确定给定恶意软件样本(例如病毒、特洛伊木马等)的来源、潜在影响和功能的过程。
在本文中,我们不打算讨论恶意软件或恶意软件分析的下落。相反,我们将了解如何有效地建立恶意软件分析实验室。由于一个计划不能满足所有组织的需要,因此我们需要考虑一些替代方案,并根据您组织的需要决定最佳方案。
我们将在本文中讨论以下主题:
- 为什么我们需要恶意软件分析实验室?
- 集思广益建立恶意软件分析实验室。
- 设置恶意软件分析实验室的步骤。
让我们开始并详细讨论每个主题。
为什么我们需要恶意软件分析实验室?
恶意软件分析实验室可以通过以下任一方式为您提供帮助:
- 它将提高您的分析速度。
- 一个合适的环境将构建一个框架并识别 TTP 和 IOC。
- 恶意软件分析实验室将帮助您控制进出网络的内容。
- 它会降低感染的风险。
集思广益建立恶意软件分析实验室
在建立实验室之前要做的第一件事也是最重要的事情是弄清楚建立实验室的需求和要求。拥有一些带有工具的专用系统来控制、分析和保护您的环境非常重要。
您需要弄清楚的一些问题,以便清楚地了解您在实验室中需要什么。
你需要什么工具?:
市场上有许多工具可用于与恶意软件分析相关的每项任务。但是您需要尝试一堆这些工具,并确定哪些工具最适合您的需要。
您需要什么类型的操作系统?:
有多种可用的系统,如 Windows、Linux、OS X,甚至移动操作系统,如 Android、iOS 等。 建议先开始使用 Windows 和 Linux,然后再接触其他操作系统.
你想达到什么目的?:
您应该清楚地了解您建立实验室的动机,并清楚您希望通过实验室实现什么目标。
设置恶意软件分析实验室的步骤
要设置恶意软件分析实验室,请遵循以下几点。
1. 网络:建立实验室最重要也是第一步是定义其网络。以下是此步骤很重要的几个原因:
- 您需要有关于您的网络的信息来识别不常见的模式和不常见的连接尝试。
- 您需要了解网络中输入的内容和输出的内容。
- 您需要拦截分析系统和网络之间的流量。
- 您需要将分析系统与其他计算机隔离。
选择您最喜欢的专用网络地址空间,以便为您的每个系统分配静态 IP 地址。这种分配的原因是,当您开始收集网络信息时,如果您不列出清单,您将花费大部分时间试图找出属于哪个系统。
您还需要一台专用机器来控制您的网络流量并充当您实验室的网关。 REMnux 和 Kali 是您可以为网关考虑的两个选项。
2. 虚拟化:以下任一场景都需要虚拟化软件:
- 当您没有几台备用机器、一个交换机和一个专用的物理空间时。
- 您只想随时随地随身携带您的实验室。
虚拟化软件的选择很少,例如 VMWare、Qemu、Virtual Box(免费),如果您不介意花几美元,那么您可以选择 VMWare Workstation。虚拟化软件将允许您在一台机器上托管整个实验室,并且它们提供了另一个有趣的功能,即快照。快照允许您将机器的状态恢复到干净的状态,因此您可以一遍又一遍地开始分析。这些对于跟踪您的长期分析工作非常有用。如果您使用的是虚拟化软件,那么如何设置虚拟网络非常重要。为此,您有三个选择:
- 桥接:不要使用桥接模式,这会使您的网络面临威胁,并且您不想感染任何其他系统。
- NAT:这是理想的选择。禁用 DHCP,以便您可以坚持您的设计。
- Host-Only: Host-Only 只会将您的虚拟系统与您的主机通信,您也不希望这样。
3. 分析机器:如果您要进行恶意软件分析,那么您将需要各种系统来运行您的样本、执行您的工具以及进行静态和动态分析。您必须按照以下简单步骤来设置您选择的每个系统。
- 安装操作系统并安装安全更新。
- 安装虚拟机工具(可选)。
- 安装分析工具,对于 Windows,您可以检查 Flare VM 工具来自动执行部分任务。
- 设置网络配置。
- 以清晰的状态保存快照。
这五个简单的步骤将帮助您获得清单并设置您需要继续进行分析的机器。
可以从以下列表中选择操作系统:
- 视窗 10
- Windows 7的
- Linux(Ubuntu 服务器 16.04)
- REMnux
- 卡利Linux
- Metasploitable 2
- Metasploitable 3
- OS X 虚拟机
- 安卓
REMnux 或 Kali 需要成为您的网关,因为 REMnux 是用于恶意软件逆向工程的专用系统,并为此提供了大量方便的工具,而 Kali 是专为渗透测试和道德黑客设计的 Linux 发行版。对于初学者来说,REMnux 应该是网关的第一个也是最后一个选择,因为 REMnux 允许您从分析机器外部嗅探网络流量并控制它。
如果您准备好同时使用 REMnux 和 Kali 这两个选项,那么这些应该是您唯一可以访问 Internet 的机器。您可以通过向这些虚拟机添加多个网卡来实现这一点。由于第二个网卡将允许您在需要时为您的分析机器提供 Internet 访问,并且您将不太可能将自己暴露在您正在分析的恶意软件样本中。
4. 测试您的环境:在开始分析之前,您需要确保一切都完美且工作正常。为此,您需要检查以下事项:
- 确保没有分析机器可以访问 Internet 或您的家庭/工作网络。您可以使用网关来控制它。尝试打开和关闭它,以便您熟悉该过程。
- 打开所有机器并尝试运行网络扫描以查看一切是否正常。
- 确保您的所有机器都有处于清晰状态的快照非常重要。您应该有明确的规则和定义,说明更新它们以安装安全补丁、新软件版本和其他注意事项的频率。
5. 开始您的恶意软件分析:现在在这个阶段,您已经准备好开始您的第一个恶意软件分析。只需拿起一个样本,打开您的机器,并开始将自己融入工具、系统和全新的环境中。您还可以查看 theZoo,这是一个 Github 存储库,其中包含 170 多个不同系列的样本供您查看,以防您没有任何样本可以开始使用。
恶意软件分析可能很难,但会很有趣,因为它不仅可以运行示例和反汇编代码,而且随着时间的推移,您将探索许多不同的技术和架构。跟上的最好方法是不断尝试新事物并查看新样本,而有效的最好方法是拥有一个合适的功能环境,您可以在其中进行所有活动。