최근 우리는 일부 컴퓨터를 손상시키는 사이버 공격을 겪었습니다. 우리는 조사를 위해 하나를 복원되지 않은 채로 두었습니다. 우리의 안티 맬웨어 제공업체는 감염 결과를 확인하기 위해 컴퓨터를 보는 데 매우 관심이 있었지만 네트워크에서 컴퓨터를 켜는 위험을 감수할 수는 없었습니다.
대신 가능하다면 컴팩트 리눅스가 설치된 부팅 가능한 USB를 생성하고, 안전한 환경에서 컴퓨터를 부팅한 후, 리눅스에서 연결된 감염된 컴퓨터로 가상 머신을 생성하고 싶습니다. 맬웨어 방지 제공업체는 기존 감염된 컴퓨터의 가상 머신이 완전히 만족스럽다고 말합니다.
가능합니까? 중요한 경우 감염된 시스템은 Windows 10입니다(그 밖에 무엇이 있을까요?).
아래 답변을 요약하면 가능하지만 사소한 것은 아니며 하드 드라이브를 보내는 것이 훨씬 쉽습니다(그들이 수락하면 내 것은 그렇지 않습니다).
답변1
가장 안전한 방법은 VirtualBox의 라이브 배포를 설치할 수 있을 만큼 큰 영구 저장 영역으로 컴퓨터를 부팅하는 것입니다.
필요한 항목: 대상 시스템, 영구 저장소가 있는 Live Distro USB, 저장소 복제용 USB
모든 네트워크 카드를 분리/제거한 상태로 부팅합니다. 유/무선 카드를 분리/제거할 수 없는 경우 대상 시스템을 켜기 전에 액세스한 라우터의 모든 Wi-Fi 비밀번호를 변경하고, 실패할 경우 라이브 배포 버전으로 직접 부팅합니다. 필요한 모든 미디어가 설치되어 있는지 확인하십시오. 타겟팅, 저장 및 실시간 배포...
시스템 전원 켜기
라이브 릴리스로 부팅하려면 필요에 따라 BIOS 부팅 순서를 변경하십시오. BIOS에 들어가려면 제조업체의 설명서를 확인하세요.
라이브 배포가 완료되면 복제하려는 시스템의 드라이브 경로와 이미지를 저장할 드라이브를 찾으세요. 이것을 사용할 수 있습니다 lsblk.
라이브 배포에 VirtualBox를 설치합니다.sudo su - apt-get install virtualbox
그런 다음 다음 명령을 실행합니다.
VBoxManage convertfromraw /path/to/drive/to/clone /path/to/store/on/MyImage.vdi --format VDI
이미지를 저장하는 데 사용되는 드라이브는 라이브 배포 및 복제할 드라이브와 분리되어야 합니다.
답변2
1.특히 이러한 특정 목적을 위해 부팅 가능한 Linux를 사용하여 USB를 만드는 것이 확실히 가능합니다. 실제로 법의학 분석 및 데이터 복구와 관련된 작업 전용 Linux 배포판이 여러 개 있습니다. 기술 중심 회사에 있는 경우 항상 몇 가지 "구조 키트"를 준비해야 합니다. 즉, 복구 USB, OS 이미지, 스크립트/데이터베이스, 템플릿을 포함한 보안 상자를 준비하고 실행해야 합니다. 사이버 공격이든 물리적 화재이든 가능한 한 빨리.
귀하가 다루고 있는 공격/시스템 손상 유형에 대한 정보를 제공해 주시면 분석/복구를 위한 적절한 배포판으로 이 답변을 업데이트하겠습니다.
2.감염된 시스템의 가상 머신을 생성하는 것은 최후의 수단이 되어야 합니다. 내 말은 의도적으로 깨끗한 가상 머신을 주어진 악성 코드로 감염시킴으로써 가상 머신을 사용하여 감염을 연구할 수 있다는 것입니다(매우 안전한 실험실에서 치명적인 바이러스를 연구하는 방법과 유사함).
- 첫째, 현재 알려지지 않은 사이버 위협을 적절하게 조사하거나 현재 다루고 있는 것이 무엇인지 전혀 모르는 경우 회사에 존재하는 공격 벡터를 식별하는 것이 불가능할 수 있습니다.
- 둘째, 감염/손상된 VM에 연결하면 이론적으로 호스트가 "일부" 유형의 "공격" 벡터에 노출될 수 있습니다. 공격은 무해할 수 있지만 알려지지 않은/발견되지 않은/패치되지 않은 유형일 수 있습니다. 과거에 많은 가상 머신 취약점이 발견되었으며 앞으로도 더 많은 가상 머신 취약점이 발견될 것입니다.가상 머신 컨설팅. 따라서 분석을 수행하는 복구/호스트 OS용 일회용 시스템(독립형 하드웨어, 라이브 USB 스틱 등)을 보유하는 것이 항상 가장 좋습니다.
- 현재 다루고 있는 실제 위협을 아직 모르고 이해하지 못한 경우 항상 최악의 시나리오에 대비하고 구멍을 막는 방법이 있는 것이 좋습니다. 어떤 식으로든 공격이 다시 시작/지속될 가능성을 항상 최소화하십시오.
매일 새로운 제로데이 취약점이 적극적으로 검색되고 발견되며, 귀하의 컴퓨터가 완전히 새로운 것에 노출되어 보안 전문가가 여전히 이를 분석하고 있을 수도 있습니다.
삼.
보안 제공업체는 컴퓨터를 보는 데 매우 관심이 있었지만 네트워크 내에서 컴퓨터를 켜는 위험을 감수할 수는 없었습니다.
무슨 말을 해야 할지 모르겠지만, 귀하의 보안 제공업체가 귀하의 회사/귀하가 테스트를 위해 이를 설정하기를 원한다면 새로운 보안 제공업체를 찾는 것이 좋습니다. 이에 대한 이유는 셀 수 없이 많지만 우려해야 할 가장 중요한 이유는 법적 문제, 즉 현재 및 미래의 책임, 관리 연속성 문제(현재/이전 직원이 이 문제를 수행한 경우 일반적으로 그렇습니다)입니다.
답변3
맬웨어 방지 제공업체가 내 관심을 끌었습니다.가상 머신 제품이것은 효과가 있을 수 있습니다. 모두가 참고할 수 있도록 시도해 보고 결과를 여기에 게시하겠습니다.
편집: 이것은 내가 찾고 있는 것이 아닙니다! 댓글 작성자가 제안한 대로 사용할 것입니다 dcfldd.