TechTarget Italy & 01net Network SearchCIO.it SearchNetworking.it SearchSecurity.it 01net 01netCIO 01netPMI 01netTRADE 01netNETS iTechStudio Digifocus Applicando CIO Club ProntoImprese IlSoftware
TechTarget Italia SearchCIO.it SearchNetworking.it
Cerca
in
Usare VMware per l'analisi del malware
Trucchi e suggerimenti
Usare VMware per l'analisi del malware
La realizzazione in laboratorio di una rete con il noto software per la virtualizzazione è un modo assai efficace per studiare la potenziale attività del codice maligno. È però basilare che non vi sia alcuna possibilità di contatto con la rete di produzione.
Link suggeriti
Topics Quando la virtualizzazione "invade" la sicurezza Expert Advice Come testare le patch di sicurezza White Papers Virtualizzazione e Sicurezza Learning Guide Virtualizzazione, gli impatti sullo staff ICT Guida alla virtualizzazione
Glossario Ivt
Intel Virtualization Technology. Si tratta delle estensioni hardware di supporto alla virtualizzazione introdotte da ...
» continua
Virtualization
Con riferimento ai sistemi operativi, la virtualizzazione è una tecnica con la quale si supporta l'esecuzione ...
» continua
12 Luglio 2007

Anche se l'analisi del malware non è solitamente l'occupazione primaria, può essere utile domandarsi quale sia la natura di un eseguibile maligno poco noto che sta imperversando nei PC. Se iniziate la vostra ricerca con l'analisi del comportamento - un'osservazione di come tale “esemplare” interagisce con file system, il registro e la rete -  potreste  ottenere velocemente risultati utili. Un software di virtualizzazione quale VMware può risultare incredibilmente utile in questo processo.

Vantaggi dell'analisi del malware tramite VMware
VMware permette di simulare su un singolo sistema fisico molteplici computer che funzionano simultaneamente. Se confrontato con un laboratorio costruito usando componenti fisici distinti dell'infrastruttura, questo metodo per l'analisi del comportamento del malware consente di avere parecchi vantaggi:

  • E' spesso utile avere diversi sistemi nel laboratorio di analisi, in modo che il malware possa interagire con i componenti di tale Internet simulata. Con VMware, è possibile costruire un laboratorio multi-componente senza l'ingombro di tutti gli chassis.
  • Se potete, fate una “fotografia” dello stato del  sistema prima che sia infettato e, se potete, ripetete questa operazione periodicamente durante l'analisi: risparmierete tempo. Questa funzionalità costituisce un semplice modo per riportare in modo pressoché istantaneo il sistema allo stato desiderato. VMware rende tutto ciò molto semplice con la sua caratteristica integrata che consente di fotografare il sistema. VMware Workstation, un prodotto commerciale, permette di fare diversi snapshot, mentre VMware Server, che è un prodotto gratuito, consente soltanto un singolo snapshot. VMware Player , anch'esso gratuito, non permette l'operazione.
  • L'opzione host-only.networking di VMware è molto comoda per collegare alcuni sistemi virtuali usando una rete simulata senza dover acquistare hardware supplementare. In tal modo è offerta un'interessante e pratica alternativa rispetto a quella di dover collegare l'ambiente del laboratorio alla rete di produzione. Host-only network permette a qualsiasi sistema virtuale di vedere tutto il traffico sulla rete simulata quando effettua l'ascolto in modo non selettivo. Questo semplifica il controllo delle interazioni di una determinata rete.

Avviare l'analisi del malware con VMware
La preparazione di un'analisi di laboratorio basata su  VMware è semplice. Avete anzitutto bisogno di un sistema con una grande quantità di spazio disco e di RAM che fungerà da host fisico. Inoltre,  vi serve il software adatto: VMware  Workstation o Server e i supporti del sistema operativo che implementerete in  laboratorio.

VMware emula l'hardware del computer, perciò dovete installare il sistema operativo in ogni host virtuale generato usando il Virtual Machine Wizard di VMware. Una volta che il sistema operativo è configurato, installate il pacchetto VMware Tool, che ottimizza il sistema per il funzionamento all'interno di VMware. Quindi installate il software adatto all'analisi del malware.

Suggeriamo di avere in laboratorio macchine virtuali con differenti sistemi operativi, ciascuno dei quali può così rappresentare un sistema che il malware è probabile abbia come target. Questo permette l'osservazione dei programmi maligni nei loro ambienti nativi. Se usate VMware Workstation, prendete gli snapshot del sistema virtuale in punti differenti durante l'installazione dell'aggiornamento di sicurezza del processo al fine di analizzare il malware al livello desiderato di patch.

Mantenere i sistemi di produzione sicuri
Quando avete a che fare con il malware, prendete le adeguate precauzioni per non infettare i sistemi di produzione. Può infatti crearsi una breccia quando si maneggia il malware impropriamente o quando un esemplare sfrutta una debolezza nel VMware installato per uscire dalla zona controllata. Sono state annunciate parecchie vulnerabilità in VMware le quali, in  teoria, potrebbero permettere al codice maligno di trovare la via che porta dal sistema virtuale all'host fisico (pdf).

Di seguito vi proponiamo alcuni suggerimenti per limitare questi rischi:

  • Utilizzate sempre tutte le patch di sicurezza rese disponibili da VMware. 
  • Dedicate un host fisico al  "laboratorio VMware"; non usare il sistema per altri scopi. 
  • Non collegare il sistema fisico del laboratorio alla vostra rete di produzione. 
  • Controllare l'host fisico con il software host-based di intrusion detection (Ids.
  • Periodicamente create delle immagini dell'host fisico usando un software di clonazione, come per esempio Norton Ghost. Se questa opzione risultasse troppo lenta, rivolgetevi a dei moduli hardware, come Core Restore, per memorizzare tutti i cambiamenti allo stato del sistema.

Uno degli inconvenienti che possono sorgere quando si usa VMware per l'analisi del malware è che il codice  maligno può rilevare se sta funzionando all'interno di un sistema virtuale, il che può far capire al codice stesso che sta per essere  analizzato. Dato che non potete modificare il codice maligno per eliminare questa sua capacità, potete modificare VMware affinché agisca in maggior "segreto". Tom Liston ed Ed Skoudis l'anno scorso hanno documentato diversi setting del file .vmx di VMware che potete usare per tale scopo. Il problema più grande con queste regolazioni è che possono rallentare le prestazioni del sistema virtuale. Inoltre, va sottolineato che non sono supportate solo da VMware.

Opzioni di virtualizzazione e strategia
 VMware non è l'unico tipo di software per la virtualizzzazione  che potete usare per l'analisi del malware. Le alternative più comuni includono Microsoft  Virtual Pc e Paralleles Workstation

Il software di virtualizzazione fornisce un meccanismo conveniente e veloce per lo sviluppo dell'ambiente di analisi del malware. Assicuratevi di stabilire i controlli necessari per impedire che il software maligno fuoriesca dal vostro ambiente  di test. Con un laboratorio ben configurato, avrete uno strumento molto efficace che vi permetterà di analizzare in modo assai efficiente una potenziale attività del malware all'interno della vostra rete.

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari