Создание лаборатории по анализу вредоносного ПО

Share

|

Давайте в первую очередь наше внимание к созданию вредоносной программы анализа лаборатории niyour собственный. Люди часто спрашивают меня о оборудование им необходимо сделать анализ вредоносной программы на дому или в офисе. Как вам скачать и опробовать различные оборонительные и наступательные программы, вам понадобится твердых условий для проведения этих freakish эксперименты по своему усмотрению. Помимо просто независимые эксперименты, можно столкнуться с различными образцами вредоносного использования против собственного производственных систем в условиях дикой природы. Используя лабораторных структуры мы расскажем в этом разделе, Вы сможете совать и продукты на вредоносное программное обеспечение, Вы тем, что вы можете получить более глубокое понимание того, как вредоносная программа образцов работы и того ущерба, который они могли причинить. Что хороший анализ вредоносной программы лаборатория, Вы будете готовы, когда nasty программного обеспечения идет призыв.

Оговорки: Использование Nonproduction систем и Находясь вне сети Интернет

Во-первых, убедитесь, что вам построить ваши лаборатории, используя дополнительные компьютеры, что вам не полагаться на производственного назначения. Если вы подобно мне, Вы устанавливаете некоторые довольно вредные вредоносной программы на эти ящики, вам нужно будет зазора их покинуть Вашей продукции сети. Эти машины не должны постоянно быть подключены к вашей реальной сети или через Интернет, пока все программное обеспечение на них полностью разрушены с тщательной переработки жесткого диска. Кроме того, даже не думаю об хранения любых конфиденциальных данных об этих системах, так как некоторые виды вредоносной программы могли украсть данные или поврежден его тщательно. Эти графы должны быть вредоносной программы анализа лаборатории и только площадка. Любое использование этих коробок в промышленных условиях может вызвать огромное количество неприятностей. Никогда, никогда подключение этих компьютеров к Интернету. Вы были предупреждены!

Кроме того, вы хотите, чтобы ваши лаборатории готовы списки во мгновенно, в случае аварийных ситуаций, таких, как быстро распространяется червь, что требует быстрого анализа. Вы не хотите иметь с scrounge вокруг в режиме реального времени во время такого кризиса для нынешнего производства коробок для использования в вашей лаборатории. Вместо выделения соответствующих систем и создания лаборатории заранее, чтобы можно было проводить анализ "на лету".

В целом лаборатория архитектуры

С этими оговорками с пути, то хорошая новость состоит в том, что можно построить лаборатории по анализу вредоносного ПО на довольно низкую стоимость. Вам не нужно последний gee - whiz оборудования для вашей лаборатории. А быстрого процессора и gobs ОЗУ которые неплохо иметь, но не обязан. Вместо старых избыточного оборудования из вашей компании или рукой Интернет аукцион будет достаточно. Цель здесь - это лишь для получения машины, что проведет операционных систем, немногих избранных приложений и вредоносного быть проанализированы. Такие ограниченные требования могут быть легко заполнены роскошная компьютерных систем.

Для моей лаборатории по анализу вредоносного архитектуры, я использую четыре систем, связанных вместе. Я рекомендую вам построить лабораторию с вашей машины с по меньшей мере 350 МГц процессором, 64 Мб ОЗУ и 5 Гб жестком диске. Каждая система понадобится сетевая карта, конечно, но простой 10 - Мбит / с Ethernet будет достаточно. По современным стандартам, эти винтаж - 1997 ящиков должны быть в изобилии и дешево. Опять же, если вы можете сделать лучше, чем этот базовый, у Вас будет spiffier лаборатории, но не разрушать свой бюджет в получении этих систем. Я просто фильтра над моей любимой по линии сайте аукциона, и увидел, что настольные системы с такого аппаратного профиля имеются менее США $ 250,00 каждого. Ноутбуки такого характера может быть snagged в США около $ 400,00 каждого.

Теперь давайте перейдем к операционной системе и аппаратных службы комплекса. Как видите, моя лаборатория содержит Windows 2000 система текущих в Microsoft IIS Web сервер. Многие корпорации полагаются на Windows 2000 и IIS серверов избранное вредоносного цели. Поэтому, я могу использовать эту систему для оценки многочисленных червей и RootKits для Windows машин. Конечно, Windows 2000 является коммерческой операционной системой, вам нужно законной лицензии, которые только могут быть включены в ваш приобретение аппаратных себя.

Моя следующая система - это Linux машина, ведется FTP сервера и веб-сервера Apache. Точно так же, как с Windows и IIS, многие образцы вредоносного конкретно уязвимых FTP и Apache установок, поэтому я хочу быть готовы анализировать их. Мой третий система - это Windows XP поле настроено обмениваться файлами с помощью встроенной в Windows файл механизмов обмена. Поскольку Windows XP - это общая рабочая среда для отечественных и корпоративных пользователей, я могу испытания вредоносной программы, что цели этих популярных пользовательских сред. Наконец, для разнообразия, мы включили машину с операционной системой OpenBSD. OpenBSD становится повышенное внимание из-за его значительного встроенными характеристиками безопасности. Мне протестировать эти функции запуск Network File System (NFS) сервера на этом поле.

На каждой из систем, в моей лаборатории, мы установили различные антивирусные средства, которые могут помочь определить различные хорошо известные примеры вредоносного ПО, поскольку они погружены системы. Кроме того, установить файл проверки целостности программного обеспечения на каждой машине контролировать критические файлы и настройки системы в том случае, если анализ вредоносной программы под пытается внести изменения. Хотя я анализировать зла critters, я бы отключить антивирус и файл проверки целостности средств временно, чтобы получить более глубокое представление, давая моей пешком покинуть этого программного тормозов. Однако, моя позиция по умолчанию оставить эти оборонительные средства в эксплуатацию, контролировать любого загрязнения в моей лаборатории, пока я решу позволить вредоносной программы перспективе потерять.

Я соединяюсь все эти ящики с использованием дешевой концентратора или коммутатора. Я действительно предпочитаете использовать концентратор для моей лаборатории, поскольку узлы повторять пакеты на все системы подключены к локальной сети. Таким образом, я могу запустить sniffer по любому из моей лаборатории, подключенных машин, и просмотреть пакеты направил любой другой системы в локальной сети лаборатории. Если я использую выключателя, я необходимо настроить период порта, которая является одной связи к переключателю, который получает все данные из локальной сети. Некоторые из дешевых коммутаторов даже не вариант для охватывают порты. Таким образом, лучшие ставки по сети вашей лаборатории по анализу вредоносного ПО является кроткий узла. Я в настройках сетевой каждой моей лаборатории коробки с тем, что все они на той же локальной сети, используя незарегистрированные swath IP- адреса в 10.x.y.z сети диапазона. Я использую 10.10.10.z в частности, просто потому, что просто типа. Я также использовать Маска от 255.255.255.0, которая позволит мне до 254 различных машин в эту сеть. Теперь у меня есть много компьютеров в моей лаборатории, но я еще не кончились адресов.

Следует отметить, что гибкость и прагматизм должны помочь характеристик вашей лаборатории. Если новый образец вредоносного освобождены, что противоречит целевой среды я не уже построен, я быстро изменять моей лаборатории для поддержки нового типа цели. Например, если кто-то Пресс-релизы нападение против Apache Web сервер работает на Windows, а по умолчанию IIS сервер, я просто установить Apache на одной из моих машин Windows, чтобы проверить новый патоген. Создавая умолчанию базовой лаборатории инфраструктуры, которые могут быть легко адаптированы для других средах, я готова приступить к анализу почти ничего плохих парней раскрыть.

Кроме того, чтобы не считаем, что Вы должны последовать примеру этой пробы в лабораторию точных деталей. Вы можете изменять его с учетом вашей собственной среды и методы анализа. Если ваш работодатель использует большое количество Solaris машины, бросать старого Sparc системы в смеси, такие как дешевая Sparc 5 системы (менее США $ 100,00 в Интернет аукционного дома рядом с Вами). Если вы хотите проверить HP - UX, получите л.с. старые окна и включить его в лаборатории. Не пользуйтесь моей лаборатории спецификации как поводке ограничить вашей лаборатории; Использовать мои данные в качестве отправной точки для своего собственного исследования и настройки.

Наконец, помните, что у вас нет для осуществления этой лаборатории во всех его славы. Не беспокойтесь, если вы не можете позволить себе несколько компьютеров; Вы по-прежнему сможете анализ вредоносной программы. Если у Вас нет средств, можно создать младшие версии этой лаборатории только с одного компьютера. Создайте двойную загрузку Windows и Linux машины, установки обеих операционных систем на одном поле, чтобы можно было переключаться между двумя с простой перезагрузки. Таким образом, вы сможете проанализировать вредоносной программы, по крайней мере, одна система. Можно даже полосе вашей лаборатории вниз дальше. Если вы хотите концентрироваться лишь на анализ вредоносного ПО Windows, можно настроить только один Windows машины, с ее готовы сделать ваш анализ.

Virtualizing Все

Лаборатория архитектуры мы обсудили до сих пор сосредоточена на покупке четырех отдельных машин и концентратор, но даже niftier осуществление связано с использованием виртуальной среды для запуска различных операционных систем одновременно на одном поле оборудования. Реализация виртуальных систем позволяет мне установить пребывания операционной системы на одном компьютере или в персональный компьютер, а затем запустите несколько гостевой операционных систем поверх него. Хост - это просто нормальной операционной системы и работает на мое оборудование. В гостевой операционных систем, однако, просто программ, которые идут по верхней части моего пребывания операционной системы. Эти гости верно операционных систем, работающих одновременно на хосте, в том, что они могут запускать программы себя и общаться через виртуальные сети, все эти виртуальные системы вместе. Каждый гостевой операционной системы осуществляется посредством эмуляции программы на принимающей, и состоит из нескольких файлов с хоста. Гостя систем даже не понимаем, что они не настоящие! Они считают, что они являются отдельных систем, работающих на их собственных аппаратных, но они просто обмен процессора. Используя этот подход, я строю трех или более различных виртуальных систем и запустить их одновременно на одном компьютере.

Использование виртуальной среды для анализа вредоносного ПО не является новой идеей. Более того, ученые IBM выполняться некоторые очень перспективные работы по анализу вредоносного ПО с помощью виртуальной машины среды еще в 2000. Я использую аналогичные концепции в моей лаборатории.

Разнообразие доступны, что позволяет превратить одной машине в принимающей проведение различных операционных систем. Коммерческие инструменты, как VMWare (www.vmware.com на имеющихся), Виртуальные ПК (доступен на www.connectix.com), и других подражать один x86 процессоров в области программного обеспечения, чтобы можно было устанавливать и запускать виртуальные компьютеры на вершине единый комплекс аппаратных . Есть даже свободное инструменты, которые этого, как Plex86 виртуальной машины проекта, в http://plex86.sourceforge.net и Бокс проекта на http://bochs.sourceforge.net. Кроме того, если вы хотите только Linux, UML в проект может использовать несколько, независимых ядер Linux внутри Linux процессов на одной Linux машине. UML можно бесплатно на http://user-mode-linux.sourceforge.net.

Красота этой виртуальной реализации заключается в том, что я могу нести вся моя анализ вредоносной программы лаборатория со мной на одном компьютере, и испытания вредоносное программное обеспечение на дороге. Кроме того, большинство из этих виртуальных инструментов системы позволяет откатывать любые изменения в виртуальной машине, без восстановления системы, немедленно восстановить гостевой операционной системы для своей первоначальной конфигурации. Если некоторые вредоносной программы royally messes один из моих виртуальных машин, я просто мгновенно поставил его обратно в первоначальное состояние. Поэтому, я могу смело смотреть в вредоносного воздействия на моей (чисто виртуальные) сети, удерживая моего здравомыслия при работе с некоторыми очень nasty и плохо атакующий код. Это вернется функция чрезвычайно полезным. Я могу даже заморозить гостевой операционных систем в их направлениях, о приостановлении всех действий, а анализировать то, что nasty программного обеспечения делает.

Конечно, для запуска всех этих виртуальных машин одновременно, принимающей компьютерного оборудования должны быть beefier чем довольно костлявый систем, описанных в последнем разделе. Действительно, достаточно памяти и процессора лошадиных можно virtualize почти ничего. Если вы собираетесь на запуск виртуальной лаборатории по анализу вредоносного ПО, я рекомендую, по крайней мере, 2 ГГц процессор, по крайней мере 64 Мб для каждой гостевой операционной системы вы собираетесь запустить. Поэтому, если вы хотите запустить один хост операционной системы и трех гостей, Вы должны иметь 256 Мб или более оперативной памяти. Для удобства ради, можно идти вперед и дважды RAM, что цифра 512 MB так что ваши системы может идти на более разумные темпы. В виртуальных операционных систем, памяти - это кислород, что ведет машину дыхание.

Для моей портативной виртуальной лаборатории, я использую VMWare продукта. Это коммерческий инструмент, но я счел для более стабильными и гибкими, чем некоторые из свободной виртуальной системой жертвы. сохранили создать VMware на моем Windows 2000 пребывания операционной системы, провести кучу различных гостевой операционных систем, включая Windows XP, различных проявлениях в Red Hat Linux, FreeBSD и Windows 2000 Server. Я могу запускать любые или все эти гостевой операционных систем одновременно, или приостановить их для дальнейшего анализа. В виртуальной среде, не требуется для осуществления вредоносной программы лаборатории по анализу, но она, безусловно, может сделать анализ процесса намного проще и более гибкими!