• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Окно с защитой. Создаем изолированную систему для тестов

security.jpg

Введение
Как и многим специалистам в сфере информационной безопасности, нам приходится сталкиваться с крайне подозрительными файлами, и желания запускать их в родной операционной системе нет. Казалось бы, что на такую проблему всегда есть одно решение - использовать виртуальные машины. Хотя даже здесь все не так гладко и спокойно, как ты мог подумать. При запуске можно столкнуться с рядом трудностей. Вирус может оказаться злым шифровальщиком или вредителем, который удаляет систему за пару секунд. В таком случае придется по новой искать, скачивать и устанавливать образ операционной системы. Но сегодня я расскажу тебе, как правильно настроить и сохранить систему, чтобы при малейших повреждениях ее можно было откатить до нужного момента.

План статьи
Перед тем как начать, стоит ознакомиться с планом, по которому будет строится наша дальнейшая работа. Первым делом я расскажу об оборудовании, с которым мы будем работать, далее рассмотрим сам процесс установки и настройки системы. После создадим необходимые бэкапы и, конечно же, проверим все в боевых условиях, предварительно заразив систему опасным вирусом. Со всеми необходимыми действиями я тебя ознакомил, значит теперь можно смело переходить к разделу установки и настройки.

Программы для работы
Сам список всех утилит крайне маленький и большинство программ входят в разряд дополнительных, которые служат для работы непосредственно с самим исполняемым файлом. Для основной работы нам потребуется официальный образ Windows 10 в формате ISO и рабочая среда VMware Workstation Pro 17. Ты можешь найти ее на просторах интернета или же купить на официальном сайте. К счастью, операционную систему покупать не придется и нам хватит пробного периода. Но если ты надеешься на долгую жизнь своей виртуальной машины, то рекомендую добавить к этому списку активатор KMS Auto. Также, так как первоначальная цель нашей системы это изолированное изучение вредоносного ПО, то я добавил небольшое количество утилит, которые помогут тебе в разборе при любых обстоятельствах. Сам список ты можешь видеть ниже:
  1. dnSpy/dotPeek;
  2. Explorer Suite;
  3. Procmon;
  4. Process Explorer/Process Hacker;
  5. IDA Pro/x64dbg;
  6. Regshot;
  7. TCPView/Wireshark.
Все эти утилиты ты можешь поместить в отдельный архив и хранить его рядом с операционной системой, чтобы в дальнейшем быстро выгрузить и установить все необходимое не выходя за пределы локальной сети. Теперь перейдем к развертыванию нашей системы.

Создание изолированной системы
Первым и самым главным этапом тебе потребуется установить всё необходимое программное обеспечение. После этого переходим в саму VMWare и создаем новую виртуальную машину. Из особенностей установки: следует создать новый виртуальный жесткий диск, а также в настройках системы убрать 3D ускоритель, поскольку из-за него дальнейший запуск системы будет вызывать критические ошибки операционной системы, что приводит к ее падению. Сам процесс установки я описывать не стану, так как я думаю ты знаешь, что делать. Для более точной настройки ниже я оставил скриншот с тем, где найти ускоритель графики.


display.jpg


Во время установки крайне не рекомендую оставлять пункты со сбором данных, поскольку в дальнейшем это нам не пригодится, а компании Microsoft не обязательно знать, чем мы занимаемся на виртуальной машине. По завершении установки перед тобой откроется окно с приветствием, после чего и сам главный экран пользователя. Единственный недостаток варианта нашей установки заключается в том, что в системе отсутствуют драйвера для взаимодействия с виртуальной средой. Чтобы это исправить тебе потребуется перейти во вкладку виртуальной машины и нажать на функцию "Установить пакет VMWare Tools", для наглядности ниже я предоставил скриншот:

tools.jpg


Также если ты устанавливал оригинальную версию, то весь интерфейс будет на английском и тебе потребуется перейти в Virtual Machine -> Install VMware Tools. После этого начнется установка всех необходимых компонентов. Не забудь войти в систему перед этими действиями. Далее перезагружаем устройство и получаем полноценную и рабочую Windows 10. Осталось настроить ее, уничтожить все лишнее и можно создавать бэкапы.

Для начала займемся всеми фичами, которыми напичканы современные образцы системы. Для удаления базовых и ненужных программ тебе стоит перейти в раздел настроек и выбрать пункт Приложения. Перед тобой раскроется список всех приложений, которые ты сможешь спокойно удалить.

Также если ты заметил надоедливый и всеми известный значок Кортаны, то рекомендую сделать такие действия: открыть PowerShell от имени администратора и скопировать в буфер обмена следующую команду:

Код:
Get-appxpackage -allusers *Microsoft.549981C3F5F10* | Remove-AppxPackage

Вставить и выполнить эту команду, дождаться завершения и закрыть окно. Теперь тебе точно никто не сможет помешать в полноценной работе системы. Не будем забывать про нашу основную цель, а именно полная изоляция. Чтобы такого достигнуть разберемся с надоедливым Windows Defender, так как при использовании функции Drag & Drop (о ней мы поговорим позже) этот антивирус будет активно проверять папку на наличие каких-либо угроз. Я опишу самый простой метод "удаления" встроенного защитника с системы.

Первым делом открываем окно выполнения команд (Win+R) и вводим gpedit.msс. После этого открывается редактор групповой политики. В нем ты должен найти "Конфигурация компьютера" и перейти в раздел "Административные шаблоны". Далее переходишь по пути "Компоненты Windows" и открываешь папку "Антивирусная программа Защитник Windows". В ней находится файл с названием "Выключить антивирусную программу Защитник Windows". Открываем его и активируем функцию Включено. Применяем изменения, закрываем редактор. Теперь тебе ничего не помешает в анализе и запуске вредоносного программного обеспечения.

Теперь стоит задуматься о переносе всех необходим утилит в систему, чтобы каждый раз не заниматься этим - активируем функцию Drag & Drop. Ее суть заключается в переносе с основной системы в гостевую всех необходимых папок или файлов. Переходим на вкладку виртуальной машины и открываем настройки. В окне переходим на параметры и ищем вкладку "Общие папки". После этого настраиваем все необходимые данные для переноса и применяем изменения. Чтобы активировать функцию переходим на виртуальную машину и во вкладке Сети ищем нашу папку. Если ты до этого не настраивал никакой виртуальной сети, то в проводнике у тебя отобразится всплывающее окно, которое нужно будет активировать. После проделанных действий нам станет доступна функция переноса файлов. Перетаскиваем все необходимые инструменты в нашу виртуальную среду и далее распаковываем их. Настройка системы прошла успешно!

На следующем этапе стоит задуматься о том, где ты будешь хранить бэкапы системы для быстрого восстановления в случаи неумелого использования. Рекомендую использовать флеш-накопитель или другой съемный диск для этого. Давай я коротко расскажу о том, как это работает. В отличие от VirtualBox, VMware способен восстанавливать систему имея всего лишь один виртуальный диск. Сам продукт разбивает всю информацию на кластеры, чтобы экономить память и оптимизировать работу. Узнать, где хранится твоя виртуальная машина ты можешь через те же параметры. На вкладке жесткий диск будет указан путь до виртуального диска. Нам то он и потребуется. Переходим по пути и архивируем папку в которой он содержится. Ждем какое-то время и готово! Теперь ты можешь восстанавливать систему в любой момент времени. Как это работает? Вместо создания новой виртуальной машины ты можешь импортировать уже готовый вариант. Для этого кликаем по кнопки Экспорт и выбираем тот самый жесткий диск, о котором я говорил ранее. После этого VMware найдет и применит все необходимые конфиги и настройки для работы и запустит виртуальную машину со всеми данными на ней.

Также расскажу тебе немного преимуществ, из-за которых для работы стоит использовать именно VMware, вместо привычного нам VirtualBox. Прежде всего это гибкость виртуальной среды. Ты можешь полностью взаимодействовать и менять такие параметры, как оперативная память и место на жестком диске не выключая саму систему. Этот же принцип работает и на смене сетевых мостов. По мимо этого сама программа имеет лучшую оптимизацию и адаптированность. Тебе не придется мучить себя с потерянной в пространстве вертикальной синхронизацией или тормозами при работе с операционной системой.

Ну а на этом этапе стоит завершить нашу работу и перейти к итогам статьи.

Подводим итоги
Чтобы было легче сделать отчет о проделанной работе давай разберемся с первоначальной целью: создать и настроить изолированную систему для проведения тестирования и анализа вредоносного кода. Мы ее достигли при помощи нескольких простых движений и доли смекалки. Также ради своей же безопасности рекомендую тебе выключать функцию Drag & Drop сразу же после передачи всех данных на гостевую ОС. Так ты не заразишь основную систему и сможешь спокойно работать и не волноваться за свою безопасность. По мимо этого в дальнейших статьях я расскажу тебе как создается полноценная виртуальная лаборатория с межсетевыми экранами и несколькими виртуальными машинами, которые способны взаимодействовать между собой.
 
Последнее редактирование модератором:

szybnev

Green Team
19.07.2018
101
135
BIT
8
Спасибо за отличную статью! Продолжай в том же духе)
 

Johan Van

Green Team
13.06.2020
358
683
BIT
332
Первым делом открываем окно выполнения команд (Win+R) и вводим gpedit.msс. После этого открывается редактор групповой политики. В нем ты должен найти "Конфигурация компьютера" и перейти в раздел "Административные шаблоны". Далее переходишь по пути "Компоненты Windows" и открываешь папку "Антивирусная программа Защитник Windows". В ней находится файл с названием "Выключить антивирусную программу Защитник Windows". Открываем его и активируем функцию Включено. Применяем изменения, закрываем редактор. Теперь тебе ничего не помешает в анализе и запуске вредоносного программного обеспечения.
Ну, тут все не так просто. Да, на какое-то время ты эту п...у может и остановишь. Но она запуститься при первой же возможности. Не помогает даже редактирование реестра. Ведь теперь у мелкомягких есть "мэханизм" отслеживающий ее "здоровье". А то, что защитник захворал - плохо. Надо его запустить )) Так что, периодически придется его прибивать снова.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!