Перейти к содержанию
Bazzill

Как правильно восстанавливать виртуальные машины?

Recommended Posts

Bazzill

VMWare давно пользуюсь. Но вот понадобилось мне софт разный опасный поизучать. Отсюда и сабжевый вопрос. Весь файл-диск бекапить, а после экспериментов восстаналивать? Кто как делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

snapshot

revert to snapshot

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Основные неприятные моменты при частом долблении малвари в виртуалке следующие:

1. IP может попасть (и попадет обязательно) во всевозможные блэк-листы (т.к хоть на каком-нибудь хонипоте засвет будет)

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

3. Возможность что-то неверно настроить с доступом, шарами, внутренней сетью (внимательно!)

4. Кошка + клавиатура = когда-нибудь обязательно приведет к случайному запуску малвари, поэтому страховка на этот случай должна быть

5. Если работаете вручную - следите за руками, даже делая все на автоматизме можно в сонном состоянии чего-нибудь не то и понажимать

6. Хранить все малварные файлы без исполныемых расширений - хорошая привычка

7. Вмваре тулзы, имхо, под снос, если сильно переживаете за такое дело

8. Все это дело можно вообще обернуть в грамотно настроенный линух

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bazzill

2. Простота обнаружения и сложность маскировки (чек вм, если да, то без пейлоада)

 

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь. А больше методов особо и не используют для чекВМ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ну, я бы не сказал, что просто обнаружить, если правильные настройки ВМВаре. Реестр подчищается. Ее хрен еще обнаружишь

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов.

В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bazzill

Лишь самые примитивные и тупые хакерские поделия определяют вмварю по строкам в реестре и именам процессов. В процентном соотношении оцениваю определяльщиков вм в текущем малварном потоке в 5%.

 

Themida определяет по строкам в реестре. Конечно это один из ее методов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
microsoftexam

Eсли у вас ESXI там можно выставить independent диск, смысл его в том, что после перезагрузки он вернется на тот момент что вы задали, используется в публичных компах, чтобы если что то натворили админ мог легко откатить простой перезагрузкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×