www.vncert.gov.vn www.vncert.gov.vn Biên soạn và trình bày: Ths. Đặng Hải Sơn Trưởng chi nhánh VNCERT khu vực miền Trung www.vncert.gov.vn GIỚI THIỆU MÔI TRƯỜNG PHÂN TÍCH MÃ ĐỘC PHẦN 1 www.vncert.gov.vn Môi trường phân tích Host machineHost machine Guest machine 1 (Linux Centos) Guest machine 1 (Linux Centos) DNS ServiceDNS Service Web ServiceWeb Service Guest machine 2 (Windows XP) Guest machine 2 (Windows XP) Microsoft OfficeMicrosoft Office Adobe ReaderAdobe Reader www.vncert.gov.vn Đặc điểm của môi trường phân tích  Host machine có khả năng cung cấp đủ tài nguyên cho 2 Guest machine hoạt động.  Chia sẻ mã độc giữa Host và Guest phải thông qua con đường phi network.  Host machine và Guest machine không được kết nối mạng với nhau.  Các Guest machine nối mạng với nhau với dạng Host-only và không có khả năng kết nối Internet. www.vncert.gov.vn Guest Machine (Centos Linux)  Cài đặt DNS Server • Có khả năng phân giải bất kỳ domain nào do máy Guest Machine thứ 2 gửi đến. • Mục đích: Đáp ứng yêu cầu nếu như mã độc có nhu cầu kết nối đến master.  Cài đặt Web Server • Mục đích: Đóng giả master phục vụ các yêu cầu của mã độc nếu như mã độc kết nối đến master là Web Server. www.vncert.gov.vn Guest Machine (Windows XP)  Cài đặt Guest Machine với các Service Packed riêng biệt.  Cài đặt Microsoft Office • Có phiên bản với các Service Packed hoặc Hotfix riêng biệt.  Cài đặt Adobe Reader, Adobe Profesional • Có phiên bản với các Service Packed hoặc Hotfix riêng biệt.  Mục đích: Bởi vì các mã độc có thể khai thác ở các hệ điều hành và các Microsoft Office hay Adobe Reader với các phiên bản khác nhau. www.vncert.gov.vn XÂY DỰNG MÔI TRƯỜNG PHÂN TÍCH MÃ ĐỘC PHẦN 2 www.vncert.gov.vn Guest Machine 1 (Linux) Cài đặt Centos Server Cấu hình địa chỉ IP Cài đặt DNS Deamon (Bind DNS) Cấu hình Bind DNS Khởi động Web Server (Apache Server) www.vncert.gov.vn Centos Linux Networking (1)  Network Adapter: Host-only  IP Address Server • [root@server ~]# ifconfig eth0 203.162.1.222 netmask 255.255.255.0  IP Address DNS Server • [root@server ~]# ifconfig eth0:1 203.162.1.234 netmask 255.255.255.0 [...]... DNS và WWW www.vncert.gov.vn Guest Machine 2 (Windows XP) 1 • Cài đặt Windows Xp 2 • Cấu hình địa chỉ IP 3 • Cài đặt Microsoft Office 4 • Snapshot cho riêng môi trường chỉ có Microsoft Office 5 • Cài đặt Adobe Reader 6 • Snapshot cho riêng môi trường chỉ có Adobe Reader www.vncert.gov.vn Windows XP Networking  IP Address • 203.162.1.111 netmask 255.255.255.0  IP Gateway • 203.162.1.222  IP DNS . localhost.localdomain hostmaster.localdomain. ( 2002022401 ; serial 3H ; refresh 15 ; retry 1W ; expire 3H ; minimum ) @ IN NS localhost.localdomain.; local IN A 2 03. 162.1.222 * IN A 2 03. 162.1.222 www.vncert.gov.vn Khởi. phân tích Host machineHost machine Guest machine 1 (Linux Centos) Guest machine 1 (Linux Centos) DNS ServiceDNS Service Web ServiceWeb Service Guest machine 2 (Windows XP) Guest machine 2 (Windows. Server • [root@server ~]# ifconfig eth0 2 03. 162.1.222 netmask 255.255.255.0  IP Address DNS Server • [root@server ~]# ifconfig eth0:1 2 03. 162.1. 234 netmask 255.255.255.0 www.vncert.gov.vn Centos