Menggunakan VMware untuk Analisis

Malware
Bahkan jika analisis malware tidak pekerjaan utama Anda, sesekali Anda mungkin
menemukan diri Anda bertanya-tanya tentang sifat executable berbahaya asing yang
melintasi meja Anda. Mulai penyelidikan Anda dengan perilaku analisis-pengamatan
tentang bagaimana spesimen berinteraksi dengan sistem file, registry dan jaringandapat dengan cepat menghasilkan hasil yang bermanfaat.Software virtualisasi
seperti VMware sangat membantu dalam proses ini.

Keuntungan dari analisis malware dengan VMware

VMware memungkinkan untuk simulasi beberapa komputer berjalan secara bersamaan
pada sistem fisik tunggal. Ada beberapa keuntungan untuk pendekatan ini untuk
analisis malware perilaku, dibandingkan dengan lab dibangun menggunakan komponen
infrastruktur fisik yang berbeda:

Ini sering bermanfaat untuk memiliki beberapa sistem di lab analisis, sehingga
malware dapat berinteraksi dengan komponen Internet simulasi. Dengan VMware,
itu mungkin untuk membangun sebuah laboratorium multi-komponen tanpa hulk
kotak fisik beberapa.

Mampu mengambil snapshot dari negara sistem sebelum menginfeksi dan

mengambil snapshot berkala seluruh analisis menghemat waktu. Fungsi ini
menyediakan cara mudah mengembalikan ke keadaan sistem yang diinginkan
hampir seketika. VMware membuat ini sederhana dengan fitur snapshot yang
terintegrasi. VMware Workstation, produk komersial, memungkinkan beberapa
snapshot. VMware Server, yang merupakan produk gratis, hanya mendukung
snapshot tunggal. VMware Player, juga bebas, tidak bisa mengambil snapshot sama
sekali.

VMware host-satunya pilihan jaringan nyaman untuk interkoneksi sistem virtual

menggunakan jaringan simulasi tanpa hardware tambahan. Pengaturan ini juga
membuat kecil kemungkinan bahwa seorang analis akan tergoda untuk
menghubungkan lingkungan laboratorium ke jaringan produksi. Jaringan host-hanya
memungkinkan setiap sistem virtual untuk melihat semua lalu lintas pada jaringan
simulasi ketika mendengarkan dalam mode promiscuous. Hal ini membuat
pemantauan interaksi jaringan spesimen mudah.

Memulai dengan VMware analisis malware

Mempersiapkan laboratorium analisis berbasis VMware sederhana. Anda perlu sebuah
sistem dengan banyak RAM dan ruang disk yang akan bertindak sebagai tuan rumah
fisik. Anda juga perlu perangkat lunak yang diperlukan: VMware Workstation atau
Server, dan media instalasi untuk OS Anda akan menyebarkan di laboratorium.
VMware mengemulasi hardware komputer, sehingga Anda harus menginstal OS ke
setiap host virtual yang dibuat menggunakan baru Wisaya Virtual Machine
VMware. Setelah OS sudah diatur, menginstal VMware Tools paket, yang
mengoptimalkan sistem untuk beroperasi dalam VMware.Kemudian instal perangkat
lunak analisis malware yang sesuai.
Saya sarankan memiliki mesin virtual dengan sistem operasi yang berbeda di
laboratorium, masing-masing mewakili OS yang malware kemungkinan akan
menargetkan. Hal ini memungkinkan pengamatan program jahat di lingkungan asli
mereka. Jika menggunakan VMware Workstation, mengambil snapshot dari sistem
virtual di berbagai titik selama proses instalasi pembaruan keamanan untuk
menganalisis malware pada tingkat patch yang diinginkan.

Menjaga sistem produksi yang aman

Ketika berhadapan dengan malware, mengambil tindakan pencegahan untuk tidak
menginfeksi sistem produksi. Pelanggaran tersebut bisa terjadi ketika menangani

malware tidak benar atau ketika spesimen mengeksploitasi kelemahan di setup VMware
dan lolos sandbox nya. Ada beberapa kerentanan diumumkan di VMware itu, dalam
teori, dapat memungkinkan kode berbahaya dari sistem virtual untuk menemukan jalan
ke host fisik .
Berikut adalah beberapa saran untuk mengurangi risiko ini:

Bersaing dengan patch keamanan dari VMware.

Mendedikasikan host fisik ke laboratorium berbasis VMware; tidak menggunakan

sistem untuk tujuan lain.

Jangan menghubungkan sistem laboratorium fisik ke jaringan produksi Anda.

Memonitor host fisik dengan intrusion detection (IDS) software berbasis host,
seperti pemeriksa berkas-integritas.

Berkala ulang gambar host fisik menggunakan software cloning, seperti Norton
Ghost . Jika opsi ini terlalu lambat, melihat ke modul perangkat keras,
seperti CoreRESTORE , untuk melepas perubahan negara sistem.

Salah satu tantangan dari menggunakan VMware untuk analisis malware adalah bahwa
kode berbahaya dapat mendeteksi apakah itu berjalan dalam sistem virtual, yang
menunjukkan dengan contoh bahwa itu sedang dianalisis. Jika Anda tidak dapat
memodifikasi kode spesimen untuk menghilangkan fungsi ini, Anda dapat
mengkonfigurasi ulang VMware untuk membuatnya stealthier.Tom Liston dan Ed
Skoudis mendokumentasikan beberapa VMware pengaturan file yang Vmx Anda dapat
memasukkan untuk mencapai hal ini. Masalah terbesar dengan pengaturan ini adalah
bahwa mereka dapat memperlambat kinerja sistem virtual. Juga mencatat bahwa
mereka tidak didukung oleh VMware.

Pilihan virtualisasi dan strategi

Tentu saja, VMware bukan satu-satunya pilihan untuk software virtualisasi dapat Anda
gunakan untuk analisis malware. Alternatif umum termasuk Microsoft Virtual
PC dan Parallels Workstation .
software virtualisasi menyediakan mekanisme yang mudah dan menghemat waktu
untuk membangun lingkungan analisis malware. Pastikan untuk menetapkan kontrol
yang diperlukan untuk mencegah perangkat lunak berbahaya dari melarikan diri
lingkungan pengujian Anda. Dengan lab fine-tuned, Anda akan baik di jalan ke arah
membuat sebagian keterampilan analisis malware Anda.
Untuk tindak lanjut artikel ini, silakan lihat VMware Jaringan Isolasi untuk Analisis
Malware Lab .