Início / unix / Perguntas / 565613
Accepted
Yimin Rong
Asked: 2020-02-04 12:42:58 +0800 CST

Crie uma VM de uma máquina infectada para o provedor anti-malware

  • 772

Recentemente sofremos um ataque cibernético que corrompeu alguns de nossos computadores. Deixamos um sem conserto para investigação. Embora nosso provedor de antimalware esteja muito interessado em examinar o computador para inspecionar as consequências da infecção, não podemos arriscar ativá-lo em nossa rede.

Em vez disso, se possível, gostaria de criar um USB inicializável instalado com um Linux compacto, inicializar a máquina em um ambiente seguro e, a partir do Linux, criar uma VM da máquina infectada à qual ela está conectada. O provedor de anti-malware indicou que uma VM da máquina infectada existente é totalmente satisfatória.

Isso é possível? Se for importante, a máquina infectada é o Windows 10 (o que mais seria?).

Para resumir as respostas abaixo, sim é possível, mas não trivial, e muito mais fácil enviar o HDD diretamente (se eles aceitam, o meu não).

live-usb virtual-machine

3 respostas

  1. Best Answer

    A maneira mais segura de fazer isso é inicializar a máquina em uma distribuição ao vivo com uma área de armazenamento persistente grande o suficiente para instalar o VirtualBox.

    Coisas necessárias: sistema de destino, Live Distro USB com armazenamento persistente, USB para armazenar clone

    Inicialize com todas as placas de rede desconectadas / removidas, se não for possível desconectar / remover placas com / sem fio, altere todas as senhas de wifi para os roteadores aos quais tem / teve acesso antes de ligar a máquina de destino em caso de falha para inicializar diretamente na distribuição ao vivo. Certifique-se de que todas as mídias necessárias estejam instaladas, ou seja. destino, armazenamento e distribuição ao vivo...

    Ligue o sistema

    Altere a ordem de inicialização do BIOS conforme necessário para inicializar a distribuição ao vivo. Verifique o manual do fabricante para entrar no BIOS.

    Uma vez dentro da distribuição ao vivo, descubra qual é o caminho da unidade para o sistema que está sendo clonado e a unidade na qual você deseja armazenar a imagem. Você poderia usar lsblkpara isso.

    Instale o VirtualBox na distribuição ao vivo.sudo su - apt-get install virtualbox

    Em seguida, execute o seguinte comando:

    VBoxManage convertfromraw /path/to/drive/to/clone /path/to/store/on/MyImage.vdi --format VDI

    A unidade para armazenar a imagem deve ser separada da distribuição ao vivo e da unidade que está sendo clonada.

    • 1

  2. 1. Certamente é possível criar um USB com um Linux inicializável especialmente para esse propósito específico. Na verdade, existem várias distribuições Linux feitas especificamente para uma tarefa que envolve análise forense e recuperação de dados. Se você estiver em uma empresa orientada para tecnologia, deve sempre haver vários "kits de resgate" disponíveis, ou seja, caixas seguras com USBs de resgate, imagens do sistema operacional, quaisquer modelos de scripts/bancos de dados para colocá-lo em funcionamento o mais rápido possível, seja seu devido a um ataque cibernético ou um incêndio físico.

    Forneça algumas informações sobre o tipo de ataque/corrupção do sistema com o qual você está lidando e atualizarei esta resposta com uma distribuição adequada para análise/recuperação.

    2. A criação de uma VM do sistema infectado deve ser a abordagem final. O que quero dizer com isso é que você pode usar uma VM para estudar uma infecção (de maneira semelhante a estudar um vírus mortal em um laboratório muito seguro) infectando propositalmente uma VM limpa com um determinado malware.

    • Primeiro, provavelmente não permitirá que você examine adequadamente a ameaça cibernética desconhecida atual ou determine os vetores de ataque presentes em sua empresa, quando você não tem absolutamente nenhuma ideia com o que está lidando.
    • Em segundo lugar, conectar-se a uma VM infectada/comprometida sempre poderia, teoricamente, expor o host a "algum" tipo de vetor de "ataque". O ataque pode ser inofensivo, mas pode ser de algum tipo ainda desconhecido/não descoberto/não corrigido. Houve inúmeras vulnerabilidades de VM encontradas no passado, e haverá várias encontradas nos futuros VM Advisories . Portanto, é uma boa ideia que o sistema operacional de resgate/host fazendo a análise seja sempre um sistema descartável (hardware autônomo, pendrive ao vivo, etc.).
    • Se você ainda não conhece e entende a ameaça real com a qual está lidando e, melhor ainda, tem uma abordagem para tapar o buraco, sempre espere o pior cenário possível. Sempre minimize qualquer chance de o ataque poder reiniciar/continuar de qualquer forma.

    Todos os dias, há novas vulnerabilidades de dia zero sendo pesquisadas e descobertas ativamente, e sua máquina pode ter sido exposta a algo tão novo que ainda está sendo analisado por especialistas em segurança.

    3.

    Embora nosso provedor de segurança esteja muito interessado em examinar o computador, não podemos arriscar ligá-lo em nossa rede.

    Não sei mais como colocar isso, mas se o seu provedor de segurança espera que sua empresa/você configure isso para teste, sugiro que encontrem um novo provedor de segurança. Existem inúmeras razões para isso, mas as mais importantes com as quais vocês devem se preocupar são legais, ou seja, responsabilidade atual e futura, bem como questões de cadeia de custódia (se isso foi feito por um funcionário atual/ex-funcionário, como na maioria das vezes é ).

    • 0

  3. O provedor de anti-malware chamou minha atenção para este produto VMWare que pode resolver o problema. Vou experimentar e postar os resultados aqui para o benefício de todos.

    Edit: não é o que eu estou procurando! Seguirá a sugestão do comentarista de usar dcfldd.

    • 0

relate perguntas