恶意软件分析的虚拟网络

Question

我试图对一个恶意软件样本做一些分析工作，但我碰到了一道墙。我无法让恶意软件正确执行并与其C2服务器对话。在我的实验室里，我有一台执行恶意软件的Windows机器，一个只有局域网的pfSense路由器，还有一个与运行INetSim (假web服务器)的Windows机器位于同一子网上的额外的Linux主机。在我的windows主机上，我通常使用Mandiant apateDNS，它用我的INetSim地址来响应所有的DNS查询，但是我相信这个恶意软件检测到的结果是没有执行，所以我需要配置我的pfSense路由器来将所有请求隧道到INetSim框，我不知道该如何做。

Answer 1

是什么使你相信它没有正确地执行？许多恶意软件的变体具有制衡机制，如果没有满足某些编程参数，就会禁用完全执行，例如：

• 检查我是否已被虚拟化，如果是，请不要运行
• 检查我是否有真正的互联网连接，如果没有运行
• 检查一下是否可以利用这台机器上的任何东西获得适当的特权。

在第一种情况下，您可以编辑出VMWare、Virtualbox等的任何痕迹。在第二种情况下，这可能变得很棘手。如果您浏览到Virustotal并检查示例，您将看到许多人建立了与合法站点(例如ping 8.8.8.8或8.8.4.4)的荒谬连接。它可能是这样工作的：

InfectedHost --> do something --> legitimate site
InfectedHost --> check value of what I just did
InfectedHost --> does value match pre-programming? If not die

在使用DNS时，您也需要小心。三年前，我正在分析SDBot的一个变体。该变体将"windowsupdate.com“放在指向虚假地址的主机文件中。它可以建立一个信标连接：

InfectedHost --> windowsupdate.com
InfectedHost --> give me this update (would never work but return a 404)

404将触发C&C功能。我的建议是分析所有的活动，并给它想要的。在更糟糕的情况下，创建图像的快照/幽灵。让它在真正的孤立网络中运行一分钟左右。冻结它，分析交通情况，然后从那里出发。请记住，这一切都在编程中，因此您可能需要在IDA中分解它。我分析过的SDBot的实例永远不会立即开始连接，它们会等到感染后不同的时间，分散的时间，几个小时之后。