it-swarm.dev

È sicuro installare malware in un VM

È sicuro installare malware nelle macchine virtuali? Vorrei indagare sul malware, ma non voglio infettare il mio computer.

Posso installare il malware in una VM VMWare, magari anche senza accesso alla rete, senza rischiare l'integrità del mio sistema host?

60
Erik

Non esiste una risposta semplice a questa domanda. VM è ancora software e presenta vulnerabilità che possono essere prese di mira e quindi, almeno in teoria, sfruttate per fare più danni.

L'esecuzione di un infetto VM con accesso alla rete apre anche potenziali vettori di attacco.

Un altro punto interessante da considerare è che un malware sufficientemente avanzato potrebbe essere consapevole della VM e modificarne il comportamento quando rileva che è in esecuzione all'interno di una VM, mascherando le effettive capacità che causano danni.

34
code_burgar

Non ho ancora visto alcun malware in-the-wild progettato per infettare un computer Host da una VM. Mi aspetto che la maggior parte dei malware semplicemente non si preoccupi se è in esecuzione sull'hardware nudo o all'interno di un VM poiché può raggiungere i suoi obiettivi ugualmente bene in entrambi i casi. È probabilmente si può presumere che il malware non sfuggirà a VM semplicemente perché non ha alcun incentivo a farlo.

Ci sono strumenti progettati per contenere e analizzare malware e molti informazioni disponibilisu come farlo . Anche un coppia di documenti con tecniche e strumenti.

22
Ladadadada

Sì, se ti leghi strettamente ad alcune regole di sicurezza (assolutamente sensate):

  1. Utilizzare un completamente sistema operativo diverso per l'host e per il guest. Ad esempio, è improbabile che malware che infetti il ​​tuo ospite Windows infetti o addirittura attacchi il tuo host Linux.

  2. Non utilizzare sistemi operativi simili sulla rete rispetto al guest. Ancora una volta, il tuo guest Windows potrebbe essere infetto, ma è altamente improbabile che un OpenBSD venga attaccato da malware.

  3. Usa il senso comune. L'obiettivo del sistema virtualizzato dovrebbe essere interamente da infettare. Non utilizzare il sistema infetto, ad esempio, per le operazioni bancarie online.

  4. Conosci i tuoi limiti. Questo è estremamente importante. Ogni volta che è sospetto che nel tuo sistema siano comparsi altri malware oltre al malware specifico oggetto di indagine, finisci immediatamente l'esperimento e ricomincia.

I primi due punti dell'elenco - certamente - quasi garantiranno che un difetto di sicurezza nel sistema di virtualizzazione non danneggerebbe le altre macchine.

17
vakufo

VM e un debugger sono la migliore opzione non professionale che hai.
Le aziende AV usano di solito un sandbox per analizzare il comportamento. Se cerchi troverai applicazioni come questa.

3
vlg789

L'unico modo possibile potrebbe essere quello di sfruttare un bug all'interno del software VM perché tutto ciò che il VM fa è catturare eventi come l'I/O e consegnarlo all'host Se il tuo fornitore non si è preso cura dei flussi di buffer qua e là, probabilmente potresti eseguire un codice pericoloso sulla macchina Host, MA in realtà non sono sicuro al 100%.

2
Andre

Se stai lavorando su Linux come Ubuntu o Debian c'è un grande sandbox chiamato limon sandbox. Il documento può essere trovato qui https://www.blackhat.com/docs/eu-15/materials/eu-15 -KA-Automating-Linux-Malware-Analysis-Using-Limon-Sandbox-wp.pdf e se vuoi una buona spiegazione per l'installazione, segui qui http: //malware-unplugged.blogspot. in/2015/11/impostazione-up-limon-sandbox-per-analyzing.html

1
ashish

Voglio solo aggiungere un'informazione per renderti più attento a questo problema rispetto ad altre risposte (senza ridurne il valore) delineate.

Un ricercatore detto :

Le aziende e gli amministratori tendono a confidare nel fatto che uscire da un VM non è possibile. Molte persone ritengono che questo sia solo un altro concetto di prova. Non capiscono che è commercialmente exploit disponibile.

L'argomento è così serio che strumenti commerciali come questo sono già stati sviluppati in passato per questo scopo.

1
user45139