Una de las preguntas más frecuentes que recibimos de nuestros lectores está relacionada con la necesidad de configurar un entorno virtual para hacer pruebas con malware. Muchas veces la inquietud surge cuando empezamos a aprender sobre seguridad informática y queremos poner esos nuevos conocimientos en práctica.
La forma más práctica de hacerlo es utilizando un entorno virtualizado, ya que vas a tener la posibilidad de generar sucesos dentro de este sistema operativo y controlar aspectos y variables que influyen en la ejecución de aplicaciones; una vez que logres un hallazgo interesante, o que el entorno esté tan comprometido que no puedas seguir trabajando, simplemente puedes volver a un estado anterior y retomar el análisis.
De lo anterior se desprende la primera recomendación: una vez instalada la máquina virtual, con su sistema operativo y herramientas, la primera acción a realizar antes de cualquier análisis o prueba es tomar un snapshot del estado inicial. Así tendrás una máquina limpia siempre que quieras realizar un nuevo análisis.
Por otra parte, en tu entorno de análisis resulta conveniente realizar algo que nunca recomendaríamos hacer sobre nuestra máquina física, y es desactivar el firewall y todas las actualizaciones por defecto que tienen el sistema operativo y otras aplicaciones, como navegadores web o sus complementos. El objetivo es facilitar el análisis dinámico de algunas muestras de malware; lo vas a agradecer cuando hagas capturas de tráfico de red. Al tener una captura mucha más limpia, solamente con las peticiones que te interesen, no vas a perder tiempo descartando tráfico que no aporta valor al análisis.
Paso 1: elegir una aplicación para virtualizar
La ventaja de que utilices máquinas virtuales es la posibilidad de tener distintas ejecutándose al mismo tiempo y de obtener todo un entorno de red virtualizado para tus análisis.
Como alternativas para gestionarlo, puedes elegir entre una gran cantidad de aplicaciones que permitirán virtualizar la infraestructura del laboratorio. Algunas de las opciones que tienes disponibles son:
Paso 2: configurar el entorno de red
Una vez preparadas las máquinas virtuales, el siguiente paso es la preparación del entorno de red a través del cual van a intercambiar información. Es importante considerar que los entornos virtualizados comparten una gran cantidad de recursos con el sistema operativo nativo; por tal motivo es necesario evitar que se convierta en un problema de seguridad.
Algunos consejos que deberías tener en cuenta son:
- Bloquear la salida a Internet de las máquinas virtuales
- Deshabilitar las carpetas compartidas entre las máquinas virtuales y el host
- Prevenir la conexión de dispositivos de memoria extraíbles como las memorias USB
- Mantener actualizado el software de virtualización
Además es importante tener en cuenta, para la correcta configuración de la red, el modo en cual se va a permitir que la máquina viirtual haga la captura del tráfico que genere el malware bajo estudio. Si bien existen diferentes modos en los que se puede configurar la red, los más conocidos son Host-only, Bridged y NAT.
Modo Bridged
Le permite a la máquina virtual compartir el adaptador de red del sistema host, pero con la salvedad de que cada uno cuenta con su propia dirección de IP y dirección MAC. Las ventajas que ofrece este tipo de configuración es que la máquina virtual permite la recepción de conexiones entrantes y les permitirá a otros sistemas comunicarse directamente con el equipo.
Modo NAT
Con esta opción puedes permitir a los sistemas virtualizados contactarse con otros sistemas dentro de la LAN o en Internet. Sin embargo, las conexiones utilizarán la misma dirección IP que el sistema del host. Otro punto a tener en cuenta es que no permite las conexiones entrantes provenientes de otros sistemas, excepto que se configure la redirección de puertos en el sistema host.
Modo Host-only
Es el menos usado para configurar un entorno de análisis, pero es una opción. Tiene por característica la creación de una LAN privada entre el host y la máquina virtual, de manera que el sistema virtualizado no se puede comunicar con sistemas externos.
Paso 3: manos a la obra
Una vez que tengas tu entorno preparado, no queda más que elegir las herramientas de análisis dinámico más apropiadas para las tareas que quieras realizar.
Por último, es importante tener una metodología para el análisis y por supuesto mantener una correcta documentación de todo lo que vas realizando, así puedes optimizar el tiempo al momento de realizar los análisis.
Alternativas útiles y recomendaciones finales
En algunas ocasiones podríamos encontrarnos con códigos maliciosos que traten de protegerse del análisis en entornos virtualizados, por lo cual es necesario aplicar algunas técnicas que nos permitan realizar el análisis de malware que evita la virtualización.
Otra alternativa que puedes utilizar es tener máquinas físicas preparadas para realizar los análisis de algunas muestras de malware. En estos casos deberías incorporar algún tipo de software que permita restaurar el equipo a un punto anterior, ya que cada vez que quieras hacer un nuevo análisis deberías reinstalar todo el sistema. Una opción para esta tarea es FOG, un sistema de computer imaging.
¿Qué esperas para poner estos consejos en práctica y crear tu propio entorno de análisis?