Análisis dinámico de malware en ambiente de red virtualizado

Autores/as

Resumen

La presente investigación estudia la creación de un entorno de red virtual para la realización de análisis dinámico de malware empleando el sistema hipervisor Proxmox y tecnologías de virtualización LXC o KVM/QEMU para el aseguramiento de la operatividad y el correcto aislamiento de los componentes. Se propone una topología modesta de seguridad perimetral empleando una DMZ con cortafuego en trípode, red interna y añadiendo una red de monitoreo, como representación de ambiente empresarial a nivel pequeño o mediano para la abstracción en elementos mínimos permisibles a virtualizar con el menor impacto en la funcionalidad del sistema y salvaguardando el consumo de recursos físicos. Según las características de zonas con gran importancia operacional (red interna y DMZ), son asechadas por código maliciosos clasificados de acuerdo al alcance esperado: masivos y dirigidos. El uso de herramientas externas para el desarrollo y obtención de datos necesarios sobre el comportamiento del sistema infectado y el desenvolvimiento del espécimen en ejecución con servicios como Zabbix y Moloch poseen limitaciones influyentes en la precisión del análisis dinámico y la consecuencia formulación de conclusiones y elaboración de indicadores de compromisos o firmas que ayuden a la detección de software maligno.

Palabras clave:

LXC, Malware masivo, Malware dirigido, Proxmox, QEMU.

 

ABSTRACT

The present research studies the creation of a virtual network environment to perform dynamic malware analysis using the Proxmox hypervisor system and LXC or KVM / QEMU virtualization technologies to ensure the operability and correct isolation of the components. A modest perimeter security topology is proposed using a DMZ with a tripod firewall, internal network and adding a monitoring network, as a representation of the business environment at a small or medium level for the abstraction in minimum elements permissible to virtualize with the least impact on the system functionality and safeguarding the consumption of physical resources. According to the characteristics of areas with great operational importance (internal network and DMZ), they are haunted by malicious code classified according to the expected scope: massive and targeted. The use of external tools to develop and obtain the necessary data on the behavior of the infected system and the development of the specimen in execution with services such as Zabbix and Moloch have influential limitations on the precision of the dynamic analysis and the consequent formulation of conclusions and elaboration of "Indicators of compromise" or signatures that aid in the detection of malicious software.

Keywords:

LXC, Mass Malware, Targeted Malware, Proxmox, QEMU.

Descargas

Publicado

2021-03-02

Cómo citar

Zhuma Mera, E., Brito Casanova, O. J., Tubay Vergara, J., & Oviedo Bayas, B. (2021). Análisis dinámico de malware en ambiente de red virtualizado. Revista Conrado, 17(78), 113–120. Recuperado a partir de https://conrado.ucf.edu.cu/index.php/conrado/article/view/1650