Sind virtuelle Maschinen dafür sicher? Die Antwort ist dieselbe wie bei vielen Fragen der Form "Ist X sicher?": Nein, es ist nicht absolut sicher.

Wie an anderer Stelle beschrieben, können Fehler in der virtuellen Maschine oder eine schlechte Konfiguration manchmal aktiviert werden die Malware zu entkommen. Zumindest im Prinzip kann hochentwickelte Malware möglicherweise erkennen, dass sie in einer VM ausgeführt wird, und (wenn Ihre VM eine Sicherheitsanfälligkeit oder eine schlechte Konfiguration aufweist) die Sicherheitsanfälligkeit oder Fehlkonfiguration ausnutzen, um von Ihrer VM zu entkommen.

Und das Ausführen der Malware in einer VM ist sicherlich viel sicherer als die Installation Es wird direkt auf Ihre tägliche Arbeitsmaschine übertragen!

Das wahrscheinlich größte Problem bei der Analyse von Malware-Beispielen in einer VM besteht darin, dass einige Malware-Autoren langsam schlau werden und ihre Malware schreiben, damit sie erkennen kann, wann sie ausgeführt wird in einer VM und heruntergefahren, wenn in einer VM ausgeführt wird. Das bedeutet, dass Sie das böswillige Verhalten nicht analysieren können, da es sich nicht böswillig verhält, wenn es in einer VM ausgeführt wird.

Welche Alternativen gibt es? Sie können einen Opfercomputer auf einem lokalen Computer einrichten, die Malware dort installieren und dann sauber wischen. Ein solches Testnetzwerk muss äußerst sorgfältig eingerichtet werden, um sicherzustellen, dass sich die Malware nicht verbreiten, nicht auf andere Computer von Ihnen übertragen und anderen keinen Schaden zufügen kann.

Referenzen:

• Ist es sicher, Malware in einer VM zu installieren (Zusammenfassung: "Es gibt keine einfache Antwort", und es gibt Einige Risiken)

• Wie sicher sind virtuelle Maschinen wirklich? Falsches Sicherheitsgefühl? (Zusammenfassung: Es gibt definitiv einige Risiken, die es Malware ermöglichen könnten, aus der VM zu entkommen.)

• Stoppt eine virtuelle Maschine Malware Schaden anrichten? (Zusammenfassung: Es gab gelegentlich Sicherheitslücken, durch die Malware aus der VM entkommen konnte.)

Die Verwendung einer virtuellen Maschine ist eine sicherere Methode zum Studieren von Malware als die Ausführung auf einer normalen Maschine. Der Hauptgrund dafür ist, dass Sie jederzeit ein bekanntes neues Image löschen und neu starten können.

Isolation Dies ist jedoch auch wichtig - wenn Ihre virtuellen Maschinen mit Ihrem Netzwerk verbunden sind, können sie Malware so verbreiten, als wären sie physische Maschinen. Isolieren Sie sie also entweder logisch (innerhalb des Hosts) oder physisch (vom Netzwerk trennen)

Ich habe genug tangentiale Informationen gesehen, um zu glauben, dass einige Viren heutzutage in der Lage sind, zu erkennen, dass sie sich auf einer virtuellen Maschine befinden, und ihr Verhalten entsprechend zu ändern. Das Beispiel, das ich gehört habe, ist, dass der Code in der VM harmlos erscheint und dann reaktiviert und infiltriert, wenn er sich nicht in einer VM befindet.

Meine Empfehlung, wann immer Sie Malware testen möchten, ist, in einem Reinraum mit Einweg zu spielen Ausrüstung. Vertrauen Sie nicht darauf, dass die VM Ihre Barriere ist - führen Sie sie in einem Labor aus, in dem jedes von Ihnen bereitgestellte Netzwerk vollständig eigenständig und mit nichts anderem verbunden ist. Stellen Sie sicher, dass alle austauschbaren Speicher (USBs usw.), die Sie verwenden, nur von der Außenwelt in eine Richtung gelangen. Wenn Sie fertig sind, löschen Sie die Computer, die Sie zum Testen verwendet haben, und stellen Sie sie neu dar. Bringen Sie alles wieder in einen bekannten Zustand. Versuchen Sie nicht, es manuell zu bereinigen.

Zum Zwecke des Studiums würde es wahrscheinlich ziemlich viel Spaß machen, die Viren auf beiden Computern mit einem zu testen vM und ein normaler Bare-Bones-Host. Ich würde dort wahrscheinlich auch eine Netzwerküberwachung durchführen, um zu sehen, was die Software über das Netzwerk versucht.

Ich würde nicht versuchen, mit dem "XP-Modus" herumzuspielen, um Malware zu isolieren. Eine virtuelle Maschine ist die beste Wahl. Das Gastbetriebssystem wird vom Hostsystem isoliert, sodass es auf der VM installiert wird und seine unangenehmen Aufgaben erledigt. Wenn Sie fertig sind, können Sie es einfach wieder in einen sauberen Snapshot zurücksetzen.

Warum nicht in einem Container ausführen?

Sie können eine Vielzahl von Images auswählen und die Umgebung auf eine einzelne Malware vorbereiten, indem Sie speziell darauf ausgerichtete Überwachungstools / Skripts anhängen.

Die Sicherheitsstufe zum Schutz Ihres Computers Die physische oder virtuelle Abhängigkeit hängt von der Isolation ab, die Sie zuvor für den Container angegeben haben.

Mit Containern, die noch deutlicher werden, da Sie mehr Einblick in die Auswirkungen der Malware haben, da n Kombinationen von Systemen leicht hochgefahren werden können.

Möglicherweise möchten Sie auch analysieren das Verhalten solcher Malware innerhalb eines Netzwerks. Isolieren Sie einfach mehrere Container mit ihrem eigenen Netzwerk innerhalb einer Netzwerksandbox und stellen Sie sicher, dass dieser vollständig von Ihrem Host-Computer getrennt ist.

Für die Hardware-Isolierung während solcher Inspektionen können Sie PIs oder jede billige Hardware verwenden.

Es kommt wirklich darauf an, zuzulassen, dass sich die Malware wie auf einem normalen Computer verhält, und sie vollständig von außen zu isolieren, wie andere bereits gezeigt haben.

Ich denke, wir müssen nicht schlauer sein, wie es wirklich gute Professinäre sind. Mark Russinovich verwendet normalerweise virtuelle Maschinen, um ein Codeverhalten zu analysieren. Dies bedeutet natürlich nicht, dass Sie nicht vorsichtig sein müssen. Isolieren Sie die virtuelle Maschine so weit wie möglich (Firewall-Einstellungen usw.).

Zum Testen von Malware installiere ich Folgendes:

Host-PC

• Sandbox-Software (z. B. Sandboxie)

• Virtuelle Maschine (wie VirtualBox oder VMware)

• Ein zusätzlicher AV (wie Avast oder MalwareBytes)

Gast-PC

• Sandbox-Software

()

Nachdem Sie alles erhalten haben, sandboxen Sie die virtuelle Maschine (auf dem Host-PC) und aktivieren Sie AV.

Öffnen Sie nach dem Öffnen Ihrer virtuellen Maschine alle Viren in der Sandbox.

To To The Extrameile

Sie können eine VM in einer VM installieren und diese sandboxen. Beachten Sie jedoch, dass ein sehr starker PC erforderlich ist.

Um die wunderbaren Antworten anderer zu ergänzen und meine eigene Erfahrung hinzuzufügen -

Keine virtuellen Maschinen sind für Ihren Zweck nicht "sicher", wie bereits von @bethlakshmi ausgeführt wurde.
Ich mache auch einige sicherheitsrelevante Experimente und bat meine Behörden, mir ein separates LAN zu geben, das vom Rest des Netzwerks an meiner Universität getrennt ist.

Am Ende bekam ich ein VLAN, das vom Rest unseres Netzwerks getrennt ist - und ich mache alle meine Experimente mit virtuellen Maschinen in diesem Netzwerk (was wiederum nicht die beste Option ist - eine einfache Die Suche auf dieser Website zeigt Ihnen, dass VLANs keine wirkliche "Sicherheit" darstellen - siehe hier). Ihre beste Wahl scheint also zu sein, entweder ein Netzwerk zu haben, das vom Rest Ihres Netzwerks getrennt ist, oder die VMs einfach nicht mit einem Netzwerk zu verbinden und isoliert zu halten.

Hinzufügen zum Kommentar von @Legolas -
Und halten Sie sich sicher von Dingen fern, die von der Black-Hat-Community stammen / von ihr unterstützt werden. Für meinen Kontext kann ich von einem Tool namens Havij erzählen - nicht sicher, was in Ihrem Kontext passiert. Wenn Sie mit Malware und ähnlichen Dingen zu tun haben, wissen Sie nie, was alles außer dem, was es zu tun behauptet!