“Análisis dinámico de malware en ambiente de red corporativo virtualizado””
Authors
Loading...
Date
2018
Directors
Journal Title
Journal ISSN
Volume Title
Publisher
Quevedo-Ecuador
Abstract
La presente Investigación estudia la viabilidad de entornos corporativos virtuales para la realización de análisis dinámico de malware, características y facilidades ofertadas por el sistema hipervisor «Proxmox» y el empleo de tecnología de virtualización «LXC» y «KVM» para el aseguramiento de la operatividad y el correcto aislamiento de los componentes con muestras reales a ejecutar. Se propone una topología modesta de seguridad perimetral de amplio uso empleando una DMZ con cortafuego en trípode, red interna y añadiendo una red de monitoreo, como representación de ambiente empresarial a nivel pequeño, mediano o sucursal de grandes corporaciones para la abstracción en elementos mínimos permisibles a virtualizar con el menor impacto en la funcionalidad del sistema y salvaguardando el consumo de recursos físicos requeridos. Según características de zonas con gran importancia dentro de una organización (red interna y DMZ), son asechadas por código maliciosos clasificados de acuerdo al alcance esperado: masivos y dirigidos. Los elementos dentro de una Intranet con sistemas operativos populares, suelen verse mayormente vulnerados por malware masivo, con la única intención de causar perjuicios a mayor cantidad de sistemas posibles. La componente DMZ, ofrece servicios empresariales, soportada en plataformas con enfoque corporativo, principal objetivo de malware dirigido expresamente desarrollado para violentar características intrínsecas de la red o sistema víctima. El uso de herramientas externas para el desarrollo y obtención de datos necesarios sobre el comportamiento del sistema infectado y el desenvolvimiento del espécimen en ejecución con servicios como «Zabbix» y «Moloch» poseen limitaciones influyentes en la precisión del análisis dinámico y la consecuencia formulación de conclusiones y elaboración de «indicadores de compromisos» o firmas que ayuden a la detección de software maligno.
Palabras claves:
Virtualización, Análisis dinámico de malware, ambiente corporativo, KVM, LXC, Proxmox, Análisis automático, Hipervisor, Virtualización de entornos, malware dirigido y masivo.
Description
This research studies the feasibility of virtual corporate environments for conducting dynamic malware analysis, features and facilities offered by the system hypervisor «Proxmox» and the use of virtualization technology «LXC» and « KVM» for the operation assurance and the correct isolation of the components with actual samples to execute. It proposes a modest and popular perimeter security topology’s using a DMZ with firewall on tripod, internal network and adding a monitoring network, as a representation of business environment at small, medium level or large corporation subsidiaries to abstraction in minimum permissible elements to virtualize with the least impact on the functionality of the system and safeguarding the consumption of required physical resources. According to characteristics of áreas of great importance into an organization (internal network and DMZ), they are assented by malicious code classified according to their expected scope: massive and directed; The elements within an Intranet, with popular operating systems, are usually mostly violated by mass malware, with the only intention of causing harm to a greater number of possible systems; The DMZ component, provides enterprise services, supported on platforms with corporate focus, targeted malware specifically developed to violate intrinsic characteristics of the network or victim system. The use of external tools to develop and obtain necessary data on the behavior of the infected system and the development of the executing specimen with services such as "Zabbix" and "Moloch" have influential limitations on the accuracy of the Dynamic analysis and the resulting formulation of conclusions and elaboration of "commitments indicators" or signatures that help the detection of malignant software.
Keywords:
Virtualization, malware’s dynamic analysis, enterprise network, KVM, LXC, Proxmox, Automatic Analysis, Hypervisor, environment virtualization, mass and targered malware.
Keywords
Virttualización, análisis dinámico, malware, Análisis automático, hipervisor, Virtualización, malware, dirigido y masivo
Citation
Brito Casanova,Orlando Jesús. (2018). “Análisis dinámico de malware en ambiente de red corporativo virtualizado””. Quevedo UTEQ. 130 p.