Изолируйте вредоносное ПО в VirtualBox и имитируйте ложные ответы [закрыто]
У меня есть какое-то вредоносное ПО, которое я хочу изучить, перехватывающее его «домашние» соединения, обнюхивая, где и как оно пытается подключиться, а затем каким-то образом, притворяясь хостом (ами), к которому он подключается, отвечаю и таким образом попробуйте узнать его «протокол».
Я предполагаю, что VirtualBox станет частью решения. Но я также заметил, что мне потребуются особые меры предосторожности, чтобы моя LAN не подвергалась воздействию .
Итак, мой вопрос:
Как настроить гостевую систему VirtualBox, чтобы она ни в коем случае не могла получить доступ к файлам моего ПК (хоста) или моей локальной сети? Из моего предыдущего вопроса, я думаю, мне нужно отключить сеть в гостевой системе. Но тогда ...
Как я могу (на хосте или госте) обнюхать все соединения, которые он пытается установить? Имена хостов, IP-адреса, порты, контент и т. Д.? Устанавливаете Wireshark? Где, в гостях или в гостях? Как?
Когда я узнаю IP-адреса / имена хостов, как я могу (опять же, на гостевом или хост-компьютере) притвориться вредоносной программе, что я являюсь таким именем хоста, и отвечать на его соединения, связываясь с ним? Установка Apache и использование скриптов cgi / php и т. Д.? Где и как?
Я знаю, что это сложный вопрос, поэтому для упрощения: что мне действительно нужно, так это набросок решения, стратегии , отвечающей целям. Список инструментов, их соответствие и общее описание того, как они будут работать.
Пример: «Установите сеть VirtualBox в режим xxx, установите wirehark на гостевой компьютер для прослушивания, отредактируйте / etc / yyyy , чтобы все соединения перенаправлялись на демон zzz, который, в свою очередь, будет вызывать ваши сценарии, чтобы вы можете ответить на вредоносное ПО »
Полезная информация:
- Хост - Ubuntu 12.04
- Вредоносное ПО представляет собой java
jar, поэтому гостевой может быть что угодно - Большинство подключений представляют собой простые запросы HTTP / HTTPS (но могут быть и другие, о которых я не знаю)
1 ответ
Я думаю, что было бы легче декомпилировать файлы .class, которые заархивированы в .jar, и проверить исходный код. Или проверить байт-код напрямую, с помощью javap. Это не применимо, если вам нужно проверить нативные библиотеки в банке.
Чтобы ответить на ваш вопрос: установите сетевой режим виртуальной машины на «Внутренняя сеть» и предоставьте ей доступ к внутренней сети с другой виртуальной машиной, которая либо имеет Squid и играет роль прокси-сервера, либо имеет Apache / nc и претендует на роль удаленная машина.
Если вы хотите получить доступ к Интернету, подключите к прокси-серверу 2 сетевых контроллера: один для внутренней сети, а другой - для моста или NAT. Но у вас снова возникнет эта проблема, сетевой режим не будет отличать вашу локальную сеть от остального Интернета.
Для мониторинга подключений вы можете использовать netstat, возможно, в сочетании с watch.
Чтобы прослушивать пакеты, вы можете использовать Wireshark на прокси.
Чтобы подделать соединения на низком уровне, посмотрите на netcat (nc). Чтобы имитировать HTTP-соединения, либо установите статический IP-адрес на прокси-сервере, либо измените инфицированную виртуальную машину /etc/hosts, чтобы перенаправить соединения на прокси-сервер.