môi trường phân tích mã độc

Môi trường phân tíchHost machine Guest machine 1 Linux Centos Guest machine 1 Linux Centos DNS Service Web Service Guest machine 2 Windows XP Guest machine 2 Windows XP Microsoft Office

GIỚI THIỆU MÔI TRƯỜNG PHÂN TÍCH MÃ ĐỘC

PHẦN 1

Môi trường phân tích

Host machine

Guest machine 1 (Linux Centos)

Guest machine 1 (Linux Centos)

DNS Service

Web Service

Guest machine 2 (Windows XP)

Guest machine 2 (Windows XP)

Microsoft Office

Adobe Reader

Đặc điểm của môi trường phân tích

 Host machine có khả năng cung cấp đủ tài nguyên cho 2 Guest machine hoạt động

 Chia sẻ mã độc giữa Host và Guest phải

thông qua con đường phi network

 Host machine và Guest machine không

được kết nối mạng với nhau

 Các Guest machine nối mạng với nhau

với dạng Host-only và không có khả năng

kết nối Internet

Guest Machine (Centos Linux)

 Cài đặt DNS Server

• Có khả năng phân giải bất kỳ domain nào do máy Guest Machine thứ 2 gửi đến.

• Mục đích: Đáp ứng yêu cầu nếu như mã độc

có nhu cầu kết nối đến master.

 Cài đặt Web Server

• Mục đích: Đóng giả master phục vụ các yêu

cầu của mã độc nếu như mã độc kết nối đến master là Web Server.

Guest Machine (Windows XP)

 Cài đặt Guest Machine với các Service Packed riêng

biệt.

 Cài đặt Microsoft Office

• Có phiên bản với các Service Packed hoặc Hotfix riêng biệt.

 Cài đặt Adobe Reader, Adobe Profesional

• Có phiên bản với các Service Packed hoặc Hotfix riêng biệt.

 Mục đích: Bởi vì các mã độc có thể khai thác ở các hệ

điều hành và các Microsoft Office hay Adobe Reader với các phiên bản khác nhau

XÂY DỰNG MÔI TRƯỜNG PHÂN TÍCH MÃ ĐỘC

PHẦN 2

Guest Machine 1 (Linux)

Cài đặt Centos Server

Cấu hình địa chỉ IP

Cài đặt DNS Deamon (Bind DNS)

Cấu hình Bind DNS

Khởi động Web Server (Apache Server)

Centos Linux Networking (1)

 Network Adapter: Host-only

 IP Address Server

• [root@server ~]# ifconfig eth0 203.162.1.222

netmask 255.255.255.0

 IP Address DNS Server

• [root@server ~]# ifconfig eth0:1

203.162.1.234 netmask 255.255.255.0

Centos Linux Networking (2)

Centos Linux DNS Deamon (1)

 Cài đặt bind-9.3.6

 Copy cấu hình mẫu từ thư mục sau đến thư mục cấu hình của bind:

• /usr/share/doc/bind-9.3.6/sample/*

 Cấu hình tập tin named.conf:

… zone “.” {

type master;

file “fake.db”

};

…

Centos Linux DNS Deamon (2)

 Nội dung của tập tin fake.db:

@ 1D IN SOA localhost.localdomain hostmaster.localdomain (

2002022401 ; serial

)

@ IN NS localhost.localdomain.;

local IN A 203.162.1.222

* IN A 203.162.1.222

Khởi động dịch vụ DNS và WWW

Guest Machine 2 (Windows XP)

Windows XP Networking

 IP Address

• 203.162.1.111 netmask 255.255.255.0

 IP Gateway

• 203.162.1.222

 IP DNS

• 203.162.1.234

Cài đặt và cấu hình