如何构建自定义恶意软件分析沙盒

安全守望者 lv.1

发布时间：2022-04-10 07:37:32 352

相关标签： # 服务器# 监控# 设备# 软件# 信息

在搜寻恶意软件之前，每个研究人员都需要找到一个分析系统。有几种方法可以做到这一点：构建自己的环境或使用第三方解决方案。今天，我们将介绍创建自定义恶意软件沙盒的所有步骤，您可以在不感染计算机的情况下执行适当的分析。然后将其与现成的服务进行比较。

为什么你需要一个恶意软件沙盒？

沙箱可以检测网络安全威胁并安全分析它们。所有信息都保持安全，可疑文件无法访问系统。你可以监控恶意软件进程，识别它们的模式并调查行为。

在设置沙箱之前，你应该有一个明确的目标，你想通过实验室实现什么。

有两种方法可以组织您的工作空间进行分析：

定制沙盒。由分析员自己从零开始制作，专门针对他们的需求。
一个交钥匙解决方案。这是一项多功能的服务，有多种配置可满足您的需求。

如何构建自己的恶意软件沙盒？

如何制作自己的恶意软件沙盒

让我们介绍一下为恶意软件研究建立简单环境所需的所有步骤：

1 — 安装虚拟机

运行恶意软件应在适当隔离的环境中进行，以避免感染主机操作系统。最好是有一台独立的计算机，但你可以用不同版本的OSs设置一台虚拟机，或者更确切地说是其中一些虚拟机。市场上有很多虚拟机：VMWare、VirtualBox、KVM、Oracle虚拟机VirtualBox、Microsoft Hyper-V、Parallels或Xen。

2 — 检查工件

现代恶意软件是智能的–；它知道它是否在虚拟机上运行。这就是为什么清除人工制品至关重要的原因。检查代码、删除检测等。

3 — 使用不同的网络

另一个预防措施是使用不同的网络系统。防止网络上的其他计算机受到感染很重要。获取VPN服务并正确设置。你不能让流量泄漏从一个真实的IP地址发生。

4 — 分配实际数量的资源

我们的目标是使系统看起来尽可能真实，以诱骗任何恶意程序执行。确保分配的资源量符合实际情况：超过4GB的RAM、至少4个内核，以及100GB及以上的磁盘空间。这是伪装成合法系统的基本要求。不过，请记住，恶意软件会检查设备的配置。如果某个地方有虚拟机的名称，恶意对象就会识别它并停止工作。

5 — 安装常用软件

如果安装Windows并保持原样，恶意对象将无法对其进行分析。

安装一些应用程序，比如Word、浏览器和其他所有用户通常都有的程序。

6 — 打开几个文件

这里我们需要证明这是一台真正属于某人的计算机。打开一些文档来积累日志和一些临时文件。有几种类型的病毒可以检查这一点。您可以使用Regshot或Process monitor来记录注册表和文件系统的更改。请注意，这些程序在运行时可能会被恶意软件检测到。

7 — 模拟网络连接

有些恶意软件会检查它是否可以连接到谷歌等网站。如何诱使恶意程序认为它是在线的？INetSim和FakeNet工具等实用程序模拟真实的互联网连接，允许我们拦截恶意软件发出的请求。尝试检查恶意对象与其主机服务器之间的网络协议。但在这之前，先用WireShark找出所分析的样本与什么有关。要想不让这个工具落入恶意软件，需要付出一些努力，小心点。

8 — 安装分析工具

准备好用于分析的工具，并确保你知道如何使用它们。您可以使用Flare虚拟机工具，也可以使用以下程序：