安全获取和提交恶意软件样本以供分析的最佳方法是什么？

Question

我们会收到很多带有可疑附件的垃圾邮件/钓鱼邮件，我想知道最好的方法来提交这个分析，而不让你自己的系统感染。

目前，我将文件保存在本地，然后上传到像virustotal、malwr.com或mcafee这样的站点。但我觉得它可能的恶意软件可以执行基于复制和粘贴。请帮帮忙

Answer 1

我不认为你需要担心恶意软件从剪贴板内运行，除非你是手动粘贴一个附加文件的命令到你的终端。

我想他们可以尝试通过浏览器来读/写剪贴板，参见https://stackoverflow.com/questions/5551338/how-to-read-clipboard-data-in-cross-browser

更严重的是，在处理恶意软件时，一般的经验法则是在一个孤立的环境中这样做，比如在访问主机的虚拟机中，如果它有互联网连接，可以添加防火墙规则，这样它就只能连接到一个白名单的分析网站。

在任何电影中，我最喜欢的“黑客”场景之一是邦德电影“天空坠落”。在影片中，这位年轻人(显然是愚蠢的)认为，把反派人物拉乌尔·席尔瓦( Raoul )的笔记本电脑插入MI6's网络，直接连接到他的个人工作机器上，是完全安全的。然后他们想知道为什么席尔瓦一开始就能黑了他们..。

正如您可能已经发现的那样，每当您在网络上处理一个外来对象时，处理它的最好方法就是将其隔离。不管是忽略垃圾邮件，还是试图在虚拟环境中打开垃圾邮件，都取决于你。就个人而言，我会选择前者。

Answer 2

最好的方法是在桌面环境中使用Linux虚拟机。

您可以通过SSH使用Windows/Linux客户端远程登录到XFCE桌面(它最适合使用X2GO )，在那里可以让Google或Firefox上传它。

如果您使用Fedora，您可以继续使用SELinux，也可以使用sandbox实用程序来阻止它访问除专用文件夹之外的任何其他位置。

您只需继续进行更新，并偶尔重新创建用户。在没有AV软件的Windows系统上这样做是非常危险的。对于Linux，风险要小得多。在Windows上，一个错误可能会对您自己的桌面造成问题。虚拟机可以重新安装。由于授权问题，安装Windows作为虚拟机变得更加困难(实际上，您可能在Hyper-V中有一些免费的许可)。

您可以通过多种方式创建这样的虚拟机：

1. 在AWS或类似于Fedora的按需云服务器中，即使是廉价的VPS也能做到，但是这个服务器可以向第三方公开您的公司机密。
2. 公司VMWare、Xen或KVM
3. Windows 10上的超级V
4. VirtualBox on Windows7 (尽管这是最糟糕的选择，因为它会在桌面上膨胀)

使用X2GO，您可以安全地连接到它，并使用桌面环境。您甚至可以在上面配置电子邮件客户端，而且由于它不是Outlook，所以它也更安全。