Malware "einkasten" und beobachten

KarlKarl

Hi,

ich mache sowas öfters. In Vmware, allerdings läuft das auf einem Windowssystem.

Den Netzwerktraffic kann man überwachen, indem man auf dem Hostsystem ein entsprechendes Programm, z.B. Wireshark laufen lässt, das ihn komplett aufzeichnet. Denkbar ist es auch, an das virtuelle Netz eine VM anzuschließen, die das Netz "snifft", da diese nicht als Switch, sondern als Hub arbeiten.

Dabei heißt es aber aufpassen, es darf z.B. nicht passieren, dass dein Versuchssystem Spam versendet oder Angriffe im Netz startet. Deshalb benutze ich mehrere VMs: auf einer läuft ein Linux-Router, der die Verbindung nach draußen hat. Hinter ihm liegen dann an einem Vmware-internen Netzwerk die eigentlichen Versuchssysteme. Damit kann ich auf dem Linux-Router alle unerwünschten Sachen blocken, dabei werden sie gelogt, so dass ich von ihnen erfahren kann.

Zugriffe auf Prozesse innerhalb des Versuchssystems zu ermitteln, kann Schwierigkeiten machen, da kannst Du eigentlich nur die Programme benutzen, wie man sie auch auf einem "normalen" Computer einsetzen würde. Manche Firewalls haben da Möglichkeiten, dann gibt es Processguard, Winpooch und natürlich noch eine Menge mehr. Problem bei all dieser Software ist aber, dass sie auf dem Versuchssystem selber läuft, man daher nie genau wissen kann, wie eventuell auf sie eingewirkt wird und was sie vielleicht nicht bemerkt, weil z.B. ein Rootkit im Spiel ist.

Die Dateien gehe ich meistens so an, dass ich das Versuchssystem mit einer Live-CD starte und von der aus den kompletten Inhalt des Dateisystems in ein Log schreibe. Am besten auch mit Prüfsummen, dann dauert es aber natürlich wesentlich länger. Nach dem Versuch das wiederholen und dann vergleichen. Von BartPE aus kann man auch die nicht aktive Registry laden und exportieren, so dass auch die verglichen werden kann. Sowohl bei Registry als auch Dateisystem gibt es natürlich viele Veränderungen, die nicht auf die Malware zurückzuführen sind.

Gruß, Karl