用于恶意软件分析的强化VM

Question

我刚开始学习恶意软件研究/恶意软件分析。我正在阅读一本名为“恶意软件分析实用指南”的书，其中涉及到了第二章中的内容，然后再讨论动态分析(恶意软件爆轰)。然而，它提到了虚拟化方法的两个选项：

1. 将网络适配器设置为仅限于主机.通过这种方式，它应该将VM与网络隔离开来，但仍然可以通过主机访问它--但不确定它是如何工作的。
2. 一个多VM设置，其中一个VM用于服务，另一个用于分析，这两个VM都连接到同一个自定义VMNet中。

我的问题是，没有一步一步的指导如何做到这一点。我希望在这里得到答案。我最好奇的问题是:将网络适配器设置为主机--这是隔离VM以进行恶意软件分析的唯一方法吗？

我在谷歌上提到的很多网站都提到了这一点(还有拍照等)。谢谢。

Answer 1

将网络适配器设置为纯主机并不能真正隔离恶意软件。恶意软件可以通过只有主机的网络传播到您的主机，然后它可以从您的主机传播到网络的其他部分或互联网。(这假设您的主机具有正常的网络连接，通常是这样的。)这是不推荐的，我很惊讶他们一开始就建议这样做。

你应该避免让恶意软件传播到你的正常内部网络或互联网。

创建自定义网络(或VLAN)是理想的。大多数管理程序将允许您在主机和来宾之间映射目录/文件夹，这样您就可以以这种方式传输文件。您创建了两个VM :一个用于执行有效负载的“测试”VM，另一个用于运行分析工具和传输数据的" tools“VM。

“测试”VM可以像您喜欢的那样不安全--它可能需要相当不安全才能使某些有效负载正常工作。相对来说，“工具”VM应该是比较硬的；有些人更喜欢它是一个不同于“测试”VM的操作系统。

Answer 2

FlareVM是一个很好的起点。

• https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html
• https://github.com/fireeye/flare-vm

还要确保您使您的硬Virtualbox，以防止恶意软件检测到它是运行在沙箱环境。

这里有一个很好的起点：

• https://github.com/Cisco-Talos/vboxhardening
• https://github.com/hfiref0x/VBoxHardenedLoader

你也可以建立一个假网络，这样恶意软件就会像在真正的网络上那样采取行动，而不会公开它。

这里有一个很好的起点：

• https://github.com/fireeye/flare-fakenet-ng