Cómo utilizar las máquinas virtuales VMware para detectar malwareComo administradores de red, el análisis de malware puede no ser nuestro trabajo principal. Sin embargo, si el malware afecta el uso de aplicaciones de escritorio, es posible que desee considerar la naturaleza de este código malicioso desconocido. En términos generales, comenzar su investigación con un análisis de comportamiento, es decir, observar cómo el malware afecta el sistema de archivos, el registro y la red, puede producir rápidamente resultados extremadamente valiosos. Algún software de virtualización, como VMware Virtual Machine, puede resultar de gran ayuda en este proceso de análisis. La máquina virtual VMware es un software de "PC virtual". Le permite ejecutar dos o más sistemas Windows, DOS y LINUX simultáneamente en una máquina. En comparación con los sistemas de "arranque múltiple", las máquinas virtuales VMware utilizan un concepto completamente diferente. Un sistema de inicio múltiple solo puede ejecutar un sistema a la vez y es necesario reiniciar la máquina al cambiar de sistema. Las máquinas virtuales VMware en realidad se ejecutan simultáneamente, con múltiples sistemas operativos alternando sobre la plataforma del sistema principal, al igual que las aplicaciones estándar de Windows. Además, puede particionar y configurar virtualmente cada sistema operativo sin afectar los datos del disco duro real. Incluso puedes conectar varias máquinas virtuales a una LAN a través de una tarjeta de red, lo cual es extremadamente conveniente. Pero hoy vamos a discutir cómo utilizar las máquinas virtuales VMware para analizar malware. Beneficios de utilizar máquinas virtuales VMware para analizar malware Las máquinas virtuales VMware admiten la simulación de varias computadoras que se ejecutan en un sistema físico al mismo tiempo. Este enfoque tiene muchas ventajas a la hora de analizar el comportamiento del malware en comparación con entornos experimentales que utilizan componentes físicos completamente diferentes: en un laboratorio de análisis suele ser ventajoso tener varios sistemas, de modo que el malware sólo interactúa con componentes simulados de Internet. Con las máquinas virtuales de VMware, se pueden construir laboratorios de múltiples componentes sin la carga de múltiples sistemas físicos. Captura instantáneas del estado del sistema antes de ser infectado por malware y ahorra tiempo con análisis de instantáneas periódicos. Esta característica proporciona una manera fácil de recuperar un sistema de destino casi instantáneamente. Las máquinas virtuales VMware facilitan mucho esta recuperación con sus capacidades de instantáneas integradas. Como producto comercial, VMware Virtual Machine Workstation permite la generación de múltiples instantáneas. VMware Server es un software gratuito y solo admite una única instantánea. VMware Player también es un software gratuito y no puede capturar instantáneas del sistema. La opción de red de solo host de las máquinas virtuales VMware hace que sea muy conveniente conectar sistemas virtuales a través de redes simuladas sin agregar hardware adicional. Esta configuración hace que los analistas estén menos interesados en conectar un entorno de laboratorio a una red de producción. La red de solo host permite que un sistema virtual vea todo el tráfico de datos en la red simulada cuando escucha en modo promiscuo. Esto facilita el seguimiento de la interactividad de la red. Es bastante sencillo empezar a utilizar máquinas virtuales VMware para analizar malware y preparar un laboratorio de análisis basado en máquinas virtuales VMware. Necesita un sistema con gran memoria y espacio en disco para actuar como host físico. También necesitará el software necesario: una estación de trabajo o servidor VMware y medios de instalación para el sistema operativo que desea implementar en el laboratorio. Las máquinas virtuales de VMware emulan el hardware de una computadora, por lo que debe instalar un sistema operativo en cada máquina virtual creada por el Asistente para nueva máquina virtual de VMware Virtual Machine. Después de instalar el sistema operativo, instale el paquete VMware Tools, que optimizará el funcionamiento de las máquinas virtuales VMware. Luego, instale el software de análisis de malware adecuado. El autor recomienda que el entorno experimental tenga varios hosts virtuales con diferentes sistemas operativos, y que cada sistema operativo represente un posible objetivo de ataque de malware. Esto facilita la observación de programas maliciosos en el entorno local. Si utiliza VMware Workstation, debe capturar instantáneas de su sistema virtual en varios momentos durante la instalación de las actualizaciones de seguridad para poder analizar el malware en diferentes niveles de parche. Protección de los sistemas de producción Cuando se trata de malware, se deben tomar precauciones para evitar la infección de la red del sistema de producción. Esta infección y daño pueden ocurrir si no se maneja adecuadamente o si una muestra de programa malicioso abusa de una vulnerabilidad en el instalador de la máquina virtual VMware. Existen varias vulnerabilidades bien conocidas en las máquinas virtuales VMware que, en teoría, permiten que el código malicioso encuentre su camino desde el sistema virtual hasta el host físico. Los lectores interesados pueden obtener documentación relevante aquí.
Para reducir estos riesgos, el autor recomienda los siguientes métodos: mantenerse al día con los parches de seguridad de las máquinas virtuales de VMware, navegar con frecuencia por su sitio web y descargar los parches más recientes. Si utiliza un host físico en un entorno experimental basado en máquinas virtuales VMware, no lo utilice para otros fines. No conecte sistemas de prueba físicos a la red de producción. Supervise los hosts físicos utilizando un software de detección de intrusiones basado en host, como File Integration Checker. Vuelva a crear imágenes periódicamente del host físico utilizando software de clonación, como Norton Ghots. Si esto es demasiado lento, considere usar módulos de hardware como la recuperación del núcleo para deshacer los cambios en el estado del sistema. Uno de los desafíos del uso de máquinas virtuales VMware para el análisis de malware es que el código malicioso puede detectar si se está ejecutando en un sistema virtual, lo que indicaría al malware que se está analizando. Si no puede modificar su código para eliminar esta funcionalidad, puede reconfigurar la máquina virtual VMware para que se ejecute de forma más privada. Consulte los siguientes documentos para configurarlo. Archivo vmx de la máquina virtual. El mayor problema con estas configuraciones es que pueden reducir el rendimiento del sistema virtual y cabe señalar que estas configuraciones no son compatibles con las máquinas virtuales VMware. Opciones y estrategias de virtualización Por supuesto, las máquinas virtuales VMware no son el único software de virtualización que se puede utilizar para el análisis de malware. Las opciones comunes incluyen Virtual PC de Microsoft y Parallels Workstation. El software de virtualización proporciona un mecanismo conveniente y que ahorra tiempo para crear un entorno de análisis de malware. Sin embargo, asegúrese de establecer los controles necesarios para evitar que el malware escape de su entorno de prueba.
上篇: En el caso de las niñas, principalmente ven películas, hacen los deberes y leen Internet. Espero que no sea demasiado pesado, se vea bien y tenga buena disipación de calor. ¿Puedes ayudarme a comparar y recomendar estos modelos? 下篇: ¿A qué ciudades se refieren las ciudades de manantiales del mundo y las ciudades de agua de Jiangbei?