如何存储恶意软件可执行文件？

Question

我一直在开发一个简单的蜜罐系统。

蜜罐系统的配置如下：

1. 主路由器R有两个部分:A部分和B部分。
2. A部分关闭，B部分设置为DMZ，在Windows 7上运行一台PC。
3. 第二部分PC有一个灭活的杀毒剂。除了OS分区之外，对硬盘驱动器分区的访问被配置为ReadOnly。

假设机器人/黑客正在发送恶意软件/间谍软件，我如何冻结(用于分析)恶意软件？我的意思是如何存储攻击者在执行之前发送的病毒/恶意软件的二进制文件。我该怎么记录这些攻击呢？

Answer 1

日志攻击者将高度依赖于如何设置您描述的蜜罐系统。您期望(或不期望)攻击者使用哪些方法来获取访问以及他们在系统中所做的事情。

其次，你需要一种识别恶意软件的方法。如何深入地设置操作系统上的日志记录取决于您。你可以记录很多东西..。你得找个地方划清界限。

对于隔离分析的恶意软件，公认的方法是对其进行存档或加密。专业人士更喜欢加密方法，因为只有加密的研究人员才能解密(避免“嘿！这里有什么？”)没有密码的档案有问题)。

加密的恶意软件可以安全地传送到分析机进行调试和检查。分析机器应该是一个VM。这样，一旦分析完成，VM就会从轨道上被核爆并恢复，为下一次测试做好准备。我们这样做的原因是为了避免在某个地方丢失一段恶意软件，并污染后续的分析。

希望这能有所帮助！

编辑：

我错过了你所说的“在恶意软件执行之前冻结它”的地方。你不能。你可以使用与反病毒相同的启发式和检测方法，在病毒运行之前获得恶意软件的信息。但后来大家都知道了。你为什么要分析这些。从定义上说，未知的那些是未知的。因此，没有可靠的方法来阻止他们。只有在他们是恶意软件之后你才会知道。

我认为更好的方法是用DMZ中的VM替换您的windows7组件，然后您可以通过任何方法隔离和加密恶意软件，然后传输它进行分析。然后对DMZ进行核武器化，并将其与分析VM一起替换为一个新版本。这样，您总是恢复到相同的未受感染的配置。您还可以激活DMZ中的防病毒，并将其设置为仅在您希望分析已知恶意软件的情况下隔离。

Answer 2

我会建议虚拟环境或重新启动和恢复软件，如深度冻结。您可以使用sysinternals或记录虚拟化提供程序的工具记录执行情况。请注意，某些最近的恶意软件，特别是ATP在执行之前检查虚拟化。要使恶意软件感染或传播，您将需要处于监听状态的易受攻击的服务或软件。你打算怎么让恶意软件找到你的宝贝？就网络流量而言，一个简单的syslog就足够了。四处寻找关于建立蜜罐的无源文章。我希望这能帮到你。请让大家知道你的最终设计和实现。最后，与其禁用防病毒，不如从一开始就不安装它吗？