如何存储恶意软件进行分析？

Question

我计划使用沙箱工具和目标Windows动态分析一些恶意软件示例。主机(物理机器)运行Ubuntu，其中包括沙箱和目标VM。

到目前为止，我只分析了良性样本，即正常软件。我将示例存储在Ubuntu主机中，并使用沙箱工具将它们注入到Windows中。沙箱然后运行示例并监视VM，然后生成一个包含API调用和其他信息的报告。

现在我已经测试了安装程序并准备好分析真正的恶意软件，我注意到我的设置中存在一个潜在的安全缺陷。假设VM和沙箱工具是安全的，我如何在分析之前存储恶意软件？

首先，我想简单地将恶意软件解压缩到我的Ubuntu主机中的一个文件夹中，并运行沙箱工具，就像我对良性软件所做的那样。但是，这台计算机连接到网络的其余部分。这算是安全问题吗？

下面是一个与此相关的问题：在VM的文件系统中保存恶意软件安全吗？

Answer 1

只要主机无法执行恶意软件，就应该在主机磁盘上存储示例。确保您没有在Ubuntu主机上运行“葡萄酒”或“交叉”之类的东西，否则可能会意外地执行恶意软件。有效载荷很可能会失败，但风险仍然存在。将恶意软件示例移动到外部驱动器，并仅在分析示例时插入它，将意味着您正在降低意外执行的可能性。

tl;dr:如果你只使用主机进行恶意软件分析，我会把它保存在磁盘上。如果你也在用它做其他的事情，把它们放在一个外部驱动器上，并且只在你和恶意软件交互的时候插入它。