我们最近遭受了一次网络攻击,损坏了我们的一些计算机。我们留下一处未修复以供调查。虽然我们的反恶意软件提供商非常有兴趣查看计算机以检查感染的后果,但我们不能冒险在我们的网络中打开它。
相反,如果可能的话,我想创建一个安装了紧凑型 Linux 的可启动 USB,在安全的环境中启动计算机,然后从 Linux 创建其所连接的受感染计算机的虚拟机。反恶意软件提供商表示现有受感染计算机的虚拟机完全令人满意。
这可能吗?如果重要的话,受感染的机器是 Windows 10(还能是什么呢?)。
总结下面的答案,是的,这是可能的,但并非微不足道,而且直接发送硬盘要容易得多(如果他们接受,我的不会)。
答案1
最安全的方法是将计算机启动到具有足够大的持久存储区域来安装 VirtualBox 的实时发行版。
所需物品:目标系统、具有持久存储功能的 Live Distro USB、用于存储克隆的 USB
在拔出/移除所有网卡的情况下启动,如果无法拔出/移除有线/无线卡,则在打开目标机器之前更改其已访问的路由器的所有 wifi 密码,以防失败直接启动到实时发行版。确保安装了所需的所有介质,即。目标、存储和实时分发...
打开系统电源
根据需要更改 BIOS 启动顺序以启动到实时发行版。检查制造商手册以进入 BIOS。
进入实时发行版后,找出要克隆的系统的驱动器路径以及您希望存储映像的驱动器。你可以用lsblk这个。
在实时发行版上安装 VirtualBox。sudo su - apt-get install virtualbox
然后执行以下命令:
VBoxManage convertfromraw /path/to/drive/to/clone /path/to/store/on/MyImage.vdi --format VDI
用于存储映像的驱动器应与实时发行版和要克隆的驱动器分开。
答案2
1.当然可以创建一个带有可引导 Linux 的 USB,特别是为了这个特殊目的。事实上,有几个 Linux 发行版专门用于涉及取证分析和数据恢复的任务。如果您在一家以技术为导向的公司,手头上应该总是有几个可用的“救援工具包”,即带有救援 USB 的安全盒、操作系统映像、脚本/数据库的任何模板,以便让您尽快启动并运行,无论是由于网络攻击或物理火灾。
请提供一些有关您正在处理的攻击/系统损坏类型的信息,我将使用适当的分布更新此答案以供分析/恢复。
2.创建受感染系统的虚拟机应该是最后的方法。我的意思是,您可以使用虚拟机来研究感染(类似于在非常安全的实验室中研究致命病毒的方式),方法是故意用给定的恶意软件感染干净的虚拟机。
- 首先,当您完全不知道自己正在处理什么时,它可能不允许您正确检查当前未知的网络威胁或确定公司中存在的攻击向量。
- 其次,连接到受感染/受损的虚拟机理论上总是可能使主机暴露于“某种”类型的“攻击”向量。该攻击可能是无害的,但可能是某种未知/未发现/未修补的类型。过去已经发现了很多虚拟机漏洞,未来还会发现很多虚拟机漏洞虚拟机咨询。因此,对于进行分析的救援/主机操作系统来说,最好始终是可丢弃的系统(独立硬件、实时 USB 记忆棒等)。
- 如果您还不知道和理解您正在处理的实际威胁,并且最好有一种堵住漏洞的方法,请始终做好最坏情况的准备。始终最大限度地减少攻击以任何方式重新启动/继续的机会。
每天,都会积极搜索和发现新的零日漏洞,并且您的计算机可能刚刚接触到一些全新的东西,以至于安全专家仍在对其进行分析。
3.
虽然我们的安全提供商对查看计算机非常感兴趣,但我们不能冒险在我们的网络中打开它。
我不知道该怎么说,但如果您的安全提供商希望您的公司/您对此进行设置以进行测试,我强烈建议你们寻找新的安全提供商。造成这种情况的原因有无数,但你们应该关心的最重要的是法律,即当前和未来的责任,以及监管链问题(如果这是由现任/前任员工完成的,通常是这样) )。
答案3
反恶意软件提供商引起了我的注意虚拟机产品这可能会起作用。将尝试一下并将结果发布在这里以供大家参考。
编辑:这不是我要找的!将按照评论者的建议使用dcfldd.