멀웨어 동적 분석 시에 그냥 돌리면 Host가 망가지므로..
멀웨어 분석을 하려면 안전한 환경을 구성하는 것이 좋겠다.
1. vm machine으로 환경을 분석한다.
여기서 네트워크 어댑터 설정이 중요한데,
HOST ONLY는 쓰지 않는다.
@ HOST - VM 간의 통신이 허용된 거라, HOST에 어떤 영향을 끼칠지를 아직 모른다.
@ 그런데, WANNACRYPTO 돌렸을 때는 HOST-ONLY여도 큰 문제가 없긴 했었는데..
아무튼,
가상 VM 스위치 및 어댑터를 구성해서 VM을 연결한다.
절대 어댑터를 HOST 껄로 사용하지 않는다.
분석환경을
VM(악성코드 분석용)[VM어댑터] - [VM어댑터]VM 스위치[VM어댑터] - [VM어댑터] VM(C2 웹서버용)
이렇게 구성하고, HOST는 따로 둔다. HOST만 외부와 연결이 된다.
C2 통신 확인을 위해서
VM(악성코드 분석용) 에서 apateDNS를 설치하고 리다이렉트를 VM(C2 웹서버용)으로 돌린다.
apateDNS 대신 따로 DNS 서버를 구성해도 좋지만, 역시 해당 서버에서 와이어샤크로 따로 확인해 주어야 한다.
그리고 이 들간의 통신을 와이어샤크로 확인하는 거지.
'MalwareAnalysis > Tip' 카테고리의 다른 글
| 가상의 c2 구축 방법 (0) | 2021.02.12 |
|---|