Uma das perguntas mais frequentes que recebemos dos nossos leitores está relacionada com a necessidade de configurar um ambiente virtual para realizar testes com malware. Muitas vezes a inquietação surge quando começamos a aprender sobre segurança informática e queremos colocar esses novos conhecimentos em prática.
A forma mais fácil de fazer isso é utilizando um ambiente virtualizado, considerando que é possível obter resultados dentro desse sistema operacional e controlar aspectos e variáveis que influenciam na execução de aplicativos. Após realizar descobertas interessantes, ou caso o ambiente seja comprometido (de forma que não possa continuar trabalhando), simplesmente volte ao estado anterior e reinicie as análises.
Para voltar ao estado anterior, temos a seguinte recomendação: depois de instalar a máquina virtual, com o seu sistema operacional e ferramentas, a primeira ação antes de qualquer análise ou teste é fazer um snapshot do estado inicial. Dessa forma, você poderá ter uma máquina limpa sempre que quiser realizar uma nova análise.
Por outro lado, no ambiente virtual é interessante fazer algo que nunca recomendaríamos em uma máquina física, como desativar o firewall e todas as atualizações de fábrica do sistema operacional e de outros aplicativos (navegadores ou os seus complementos). O objetivo é facilitar a análise dinâmica de algumas amostras de malware. Para isso, é bastante útil fazer uma captura dos tráfegos de rede. Ao ter uma captura mais limpa, apenas com as solicitações que te interessam, não perderá tempo descartando tráfego que não gera valor à análise.
Passo 1: escolha um aplicativo para virtualizar
A vantagem de utilizar máquinas virtuais é a possibilidade de ter diferentes executáveis ao mesmo tempo e, dessa forma, obter um ambiente de rede virtualizado para as suas análises.
Como alternativas para gerenciar esse ambiente, é possível escolher uma grande quantidade de aplicativos que permitirão virtualizar a infraestrutura do laboratório. Algumas das opções disponíveis são:
Passo 2: configure o ambiente de rede
Depois de preparar as máquinas virtuais, o próximo passo é a preparação do ambiente de rede através do qual é possível trocar informações. É importante ter em conta que os ambientes virtualizados compartilham uma grande quantidade de ferramentas com o sistema operacional nativo; por esse motivo é necessário evitar que se transforme em um problema de segurança.
Algumas dicas que você deve ter em conta são:
- Bloquear a saída à Internet das máquinas virtuais
- Desativar as pastas compartilhadas entre as máquinas virtuais e o host
- Prevenir a conexão de dispositivos de memória removíveis como as USB
- Manter o software de virtualização atualizado
Além disso, é importante ter em conta, para a correta configuração da rede, a forma na qual irão permitir que a máquina virtual faça a captura do tráfego gerado pelo malware investigado. Apesar de existirem diferentes formas para configurar uma rede, as mais conhecidas são Host-only, Bridged e NAT.
Modo Bridged
Permite que a máquina virtual compartilhe o adaptador da rede do sistema host, mas com a condição de que cada um conte com o seu próprio endereço IP e MAC. As vantagens oferecidas por esse tipo de configuração é que a máquina virtual permite a recepção de conexões entrantes e faz com que outros sistemas se comuniquem com o equipamento.
Modo NAT
Com essa opção, você pode permitir aos sistemas virtualizados que se conectem com outros sistemas dentro da LAN ou na Internet. No entanto, as conexões utilizarão o mesmo endereço IP que o sistema do host. Outro ponto que se deve ter em conta é que não permite as conexões entrantes provenientes de outros sistemas, exceto quando o endereço de portas é configurado no sistema host.
Modo Host-only
É bem menos utilizado para configurar um ambiente de análise, mas é uma opção. Tem como característica a criação de uma LAN privada entre o host e a máquina virtual, de forma que o sistema virtualizado não pode se comunicar com os sistemas externos.
Passo 3: mãos à obra!
Depois de preparar o ambiente, é necessário apenas escolher as ferramentas de análise dinâmico mais apropriadas para as atividades que queira realizar.
Por último, é importante ter uma metodologia para a análise e, com certeza, manter uma correta documentação de tudo o que será realizado, assim será possível otimizar o tempo para o momento de realizar as análises.
Alternativas úteis e recomendações finais
Em algumas ocasiões, você pode encontrar códigos maliciosos que tentam se proteger das análises em ambientes virtualizados, por isso, é necessário aplicar algumas técnicas que nos permitem realizar a análise de malware que evita a virtualização.
Outra alternativa é contar com máquinas físicas preparadas para realizar as análises de algumas amostras de malware. Nesses casos, você deve incorporar algum tipo de software que permita restaurar o equipamento para um ponto anterior, considerando que o sistema deve ser reinstalado cada vez que seja necessário fazer uma nova análise. Uma opção para essa atividade é o FOG, um sistema de computer imaging.
O que você está esperando para colocar essas dicas em prática e criar o seu próprio ambiente de análise?