background image

Chapter 4g. Malware Mitigation.

One of the most common risks to a secure system that you will encounter is malware.  

Despite what some may say about Linux, it is not immune to the threat of malware.  The standard 
approach for most users to prevent malware is a virus scanner.  However, such a method is flawed 
since, once malware has found its way on to your computer, it's already been compromised.  All a 
virus scanner can do is attempt to clean up the mess.  Additionally, using a virus scanner only 
detects known malware.  Any unknown malware will get past it and compromise your system 
undetected.

The method described in this chapter provides a means of limiting the risk of a lasting 

compromise of your Whonix Gateway and Whonix Workstation by malware.  Rather than relying 
on a virus scanner, this method involves creating an additional virtual hard drive for persistant 
storage of various files and then restoring the Whonix Gateway and the Whonix Workstation from a 
snapshot after each use.  The benefit of this method is that, if either the  Whonix Gateway or the 
Whonix Workstation are compromised by malware during your session, it will simply be erased and 
gone the next time you use the Whonix Gateway or Whonix Workstation.

While this method provides a fairly good way to mitigate the risks associated with malware, 

do not become overconfident in it and get reckless with your networking habits.  This method will 
only work against malware that is confined to the Whonix virtual machines.  If the malware is 
advanced enough to break out of the restrictions of a virtual machine and compromises your host, 
then this method will no longer do you any good and your entire system will no longer be secure.  
Additionally, standard malware that infects your vm can still compromise communications that you 
believed to be encrypted, thus weakening a significant aspect of the security methods discussed 
earlier in this guide.  Therefore, while this method will mitigate against a persistent install of 
malware in your Whonix Gateway or Whonix Workstation, remember that  it is still best to avoid 
malware compromise entirely.

Also be aware that if you create a snapshot of a either the Whonix Gateway or Whonix 

Workstation after it has been compromised, and you are using that snapshot for this method, then 
the mitigation techniques described in this chapter will essentially be worthless.  Thus, if you've 
already used the Whonix Gateway or Whonix Workstation to visit risky internet sites, consider 
doing a fresh install of Whonix as described in this guide before implementing the method in this 
chapter.

Let's begin.

Chapter 4g. Malware Mitigation.
background image

1. First and foremost, if your Whonix Gateway and Whonix Workstation are running, 

shut them down as described in steps 4-7 of Chapter 4a. The first thing you need to do is 
create a new virtual hard drive to use with your Whonix Workstation.  This is done from 
inside the VirtualBox Manager.  If your VirtualBox Manager is not currently running in your 
Debian host OS, click on “Applications” in the upper left corner, then choose “Accessories” 
and scroll down to “VirtualBox.”  Click on “VirtualBox.”

Chapter 4g. Malware Mitigation.
background image

2. If you've made it this far, you've done some substantial work with your Whonix virtual 

machines.  Take snapshots of them for backup purposes before proceeding.  First, click on 
“Whonix Gateway” and then click on “Snapshots.”

Chapter 4g. Malware Mitigation.
background image

3. Next, click on the icon that looks like a camera towards the upper center of the screen to 

take a snapshot of your Whonix Gateway.

4. On the next screen that appears, choose whatever name you want for your snapshot and 

click the “OK” button.

5. Next, click on the “Whonix Workstation” to select it and click on the camera icon towards 

the upper center of the screen to take a snapshot.

Chapter 4g. Malware Mitigation.
background image

6. On the next screen, choose whatever name you want for your snapshot and click the “OK” 

button.
 

7. Next, with the “Whonix Workstation” still selected, click on “Settings.”

Chapter 4g. Malware Mitigation.
background image

8. In the window that appears, click on “Storage” on the left side of the window.  Then, click 

the second icon with a “+” sign that is located next to “Controller: Whonix...” that is at the 
top of the list in the “Storage Tree” section of the window.

9. On the next screen, click on “Create new disk.”

Chapter 4g. Malware Mitigation.
background image

10. In the window that appears, choose “VirtualBox Disk Image” and click “Next.”

Chapter 4g. Malware Mitigation.
background image

11. On the next screen, select “dynamically allocated” and click on the “Next” button.

Chapter 4g. Malware Mitigation.
background image

12. Now, choose “Whonix Storage” for the name of your new virtual hard disk in the field under 

“Location.” Then, choose the maximum amount of data you want the drive to be able to 
hold by either adjusting the slider under “Size” or typing in the size you prefer in the field 
next to the slider.  If you believe there is ever a chance that you will be storing a lot of data 
on your new hard drive, choose a larger size. However, do not choose a size larger than 
the storage space on your hard drive. 
 Since the virtual hard disk is “dynamically 
allocated,” a larger size won't instantly take up more disk space on your local hard drive.  
Rather, the virtual hard drive will only increase in size as data is written to it.  Finally, when 
you are ready to proceed, click the “Create” button.

Chapter 4g. Malware Mitigation.
background image

13. When you are returned the “Whonix Workstation Settings” screen of the VirtualBox 

Manager, click on the “OK” button.

Chapter 4g. Malware Mitigation.
background image

14. Next, you need to set the new hard drive you created to not be affected when you restore 

your Whonix Workstation from a snapshot.  To do this, open the Virtual Media Manager in 
the VirtualBox Manager. Click on “File → Virtual Media Manager.”

Chapter 4g. Malware Mitigation.
background image

15. In the next window that appears, click on “Whonix Storage” and then click the “Modify” 

button.

Chapter 4g. Malware Mitigation.
background image

16. On the next screen, select “Writethrough” as your medium type and click the “OK” button.

Chapter 4g. Malware Mitigation.
background image

17. When returned to the Virtual Media Manager, click the “Close” button.

Chapter 4g. Malware Mitigation.
background image

18. Now, start your Whonix Gateway. Click on “Whonix Gateway” in your VirtualBox Manager 

and then click the “Start” button.

19. After the Whonix Gateway has booted and reached the desktop, start your Whonix 

Workstation.  Click on “Whonix Workstation” and then click on the “Start” button.

Chapter 4g. Malware Mitigation.
background image

20. When the system boots and you reach the Whonix Workstation Desktop, click on the 

“Konsole” icon on your Desktop to open a terminal session.

Chapter 4g. Malware Mitigation.
background image

21. Now, you need to format the new virtual hard disk you created.  In the terminal, type 

sudo fdisk /dev/sdb”.  When prompted for your password, type it and press “enter.”

22. When you reach the command prompt in fdisk, type “n” to create a new partition.

23.  For the remaining prompts that appear while creating the new partition, accept the defaults.  

Simply press “enter” after every prompt that appears that is highlighted in red below.

Chapter 4g. Malware Mitigation.
background image

24. When returned to the main prompt in fdisk, type “w” to write the changes to disk.

25. You will now be returned to your terminal command prompt.  You need to format the newly 

created partition in order to be able to use it.  Type “sudo mkfs.ext4 /dev/sdb1” and press 
“enter.”

26. When the disk finishes formatting and you re returned to the command prompt, create a 

directory that will be used by the new virtual hard disk in the future.
Type “mkdir storage” and press “enter.”

27. Next, you need to configure your Whonix Workstation to mount the new virtual hard disk on 

every boot.  Type “sudo nano /etc/fstab” and press “enter.”

Chapter 4g. Malware Mitigation.
background image

28. The next screen is the nano editor.  Use your down-arrow key to navigate to the bottom of 

the file and type “/dev/sdb1 /home/user/storage ext4

defaults

0

2” as the 

last line.

29. Next, type you need to use a left-control-keystroke to exit nano and save the file. 

Press “LEFT CTRL-X”. When prompted to save your changes, type “Y”.

Chapter 4g. Malware Mitigation.
background image

30. The next prompt will ask you to select a file name to which you will save the file which 

should default to “/etc/fstab”. Press “enter” to continue.

31.  Next, restart the Whonix Workstation for your changes to take effect. Click on the “K” start 

button in the lower left corner of your screen, hover the mouse over the “Leave” icon that 
appears in the right side of the Start Menu and then click on “Restart.”

Chapter 4g. Malware Mitigation.
background image

32. In the next screen that appears, click on the “Restart Computer” button.

33. Let the Whonix Workstation go through its reboot process.  When you are returned to the 

Desktop, click on the “Konsole” icon on your Desktop.

34. Next, you need to change which account owns the “storage” directory in order to make use 

of it. Type “sudo chown user:user storage” and press “enter.”

35. Now, you need to move various files and directories to the persistent “storage” directory. 

This step of the tutorial is assuming you saved your KeePassX password database as 
“mypass.kdb” in your home directory.  If you saved it as something else, replace 
“mypass.kdb” with the path and file name you chose in the following command.
 

Type “mv -t storage  .gnupg .icedove .purple mypass.kdb” and press “enter.”

Chapter 4g. Malware Mitigation.
background image

36. Next, you need to create symbolic links in your home directory to the files and directories 

you just moved to the storage directory. If you are familiar with Microsoft Windows, think 
of these as being similar to “shortcuts.”  This will take a few steps.
Create a symbolic link for your GPG encryption data. Type “ln -s storage/.gnupg .gnupg” 
and press “enter.”

37. Next, create a symbolic link for your Icedove e-mail data. 

Type “ln -s storage/.icedove .icedove” and press “enter.”

38. Next, create a symbolic link for your Pidgin instant messenger data. 

Type “ln -s storage/.purple .purple” and press “enter.”

39. Now, create a new directory for the base of HexChat. 

Type “mkdir storage/.config” and press “enter.”

40. Next, type “mv .config/hexchat storage/.config/hexchat” and press “enter.”

41. Now, type “cd .config” and press “enter.”

42. Next, type “ln -s ../storage/.config/hexchat hexchat” and press “enter.”

You can now close the terminal window.

Chapter 4g. Malware Mitigation.
background image

43. Next, you need to point KeePassX to where you've moved your password database.  Either 

open KeePassX through the K Start Button or double-click on the KeePassX icon on your 
Desktop.

44. KeePassX will now open to an empty screen. Click on “File → Open Database.”

Chapter 4g. Malware Mitigation.
background image

45. In the next window that appears, click on “Home” in the column to the left side.  Then, 

double-click on “Storage.”

Chapter 4g. Malware Mitigation.
background image

46. In the next screen, click on “mypass.kdb” and then click the “Open” button.

NOTE: This step assumes you named your KeePassX database file “mypass.kdb.”  If you 
named it something else, click on the file name you chose.

Chapter 4g. Malware Mitigation.
background image

47. When prompted to enter your password, type the main password you set for your KeePassX 

password database in Step 6 of Chapter 4c in the field next to “password” and click the 
“OK” button.

48. Close KeePassX by clicking the “X” symbol in the upper right corner.

Chapter 4g. Malware Mitigation.
background image

49. Next, shut down both the Whonix Workstation and the Whonix Gateway as described 

in steps 4-7 of Chapter 4a.  

50. When both the Whonix Workstation and Whonix Gateway have shut down, now you will 

clone them.  Click on “Whonix Gateway” to select it in the VirtualBox Manager. Then click 
on “Machine → Clone.” 

51. In the next window that appears, type “Whonix-Gateway [Mitigated]” for the name of the 

new virtual machine.  Then, click on the “Next” button.

Chapter 4g. Malware Mitigation.
background image

52. In the next screen, select “Full Clone” and click the “Next” button.

Chapter 4g. Malware Mitigation.
background image

53. When the next window appears, select “Current machine state” and then click the “Clone” 

button. 

Chapter 4g. Malware Mitigation.
background image

54. When you are returned to the VirtualBox Manager, click on “Whonix Workstation” to select 

it.  Then, click “Machine → Clone.”

55. In the window that appears, type “Whonix-Workstation [Mitigated]” for the name of the 

new virtual machine.  Then, click on the “Next” button.

Chapter 4g. Malware Mitigation.
background image

56. In the next screen, select “Full Clone” and click the “Next” button.

Chapter 4g. Malware Mitigation.
background image

57. When the next window appears, select “Current machine state” and then click the “Clone” 

button. 

58. Next, you have to temporarily remove some drives from your Whonix virtual machines in 

order to change the state of those drives.  You will do this through the Virtual Media 
Manager.  When returned to the VirtualBox Manager, click on “File → Virtual Media 
Manager.” 

Chapter 4g. Malware Mitigation.
background image

59. In the next window that appears, click on the disk entitled “Whonix-Gateway [Mitigated]-

disk1.vmdk” to highlight it.  Then, click the “Release” button.

60. When the window appears that asks you if you want to release the virtual hard disk, click the 

“Release” button.

Chapter 4g. Malware Mitigation.
background image

61. When you are returned to the Virtual Media Manager window, click the “Modify” button.

Chapter 4g. Malware Mitigation.
background image

62. When the next window appears, select “Immutable” and click the “OK” button.

Chapter 4g. Malware Mitigation.
background image

63. Next, when you are returned to the Virtual Media Manager, click on the disk entitled 

“Whonix-Workstation [Mitigated]-disk1.vmdk,” and then click the “Release” button.

64. When the window appears that asks you if you want to release the virtual hard disk, click the 

“Release” button.

Chapter 4g. Malware Mitigation.
background image

65. When you are returned to the Virtual Media Manager, click on the “Modify” button.

Chapter 4g. Malware Mitigation.
background image

66. When the next window appears, select “Immutable” and click the “OK” button.

Chapter 4g. Malware Mitigation.
background image

67. When you are returned to the Virtual Media Manager window, click the “close” button.

Chapter 4g. Malware Mitigation.
background image

68. When you are returned to the VirtualBox Manager, click on  “Whonix-Gateway [Mitigated]” 

and then click the “Settings” button.

Chapter 4g. Malware Mitigation.
background image

69. In the next window that appears, select “Immutable” and click the “OK” button.

Chapter 4g. Malware Mitigation.
background image

70. When you are returned to the Virtual Media Manager, click the “Close” button.

71. Now you need to reattach the disks to the Whonix virtual machines.  When you are returned 

to the VirtualBox Manager, click on “Whonix Gateway [Mitigated]” and then click on 
“Settings.” 

Chapter 4g. Malware Mitigation.
background image

72. In the window that appears, click on “Storage” on the left side of the window.  Then, click 

the small icon that looks like a circular disk with a “+” sign on it towards the bottom of the 
window and select  “Add Hard Disk.”

Chapter 4g. Malware Mitigation.
background image

73. On the next screen, click on the “Choose existing disk” button.

74. Next, select “Whonix-Gateway [Mitigated]-disk1.vmdk” and click on the “Open” button. 

Note: This file is located in “/home/user/Virtual Box VMs/Whonix-Gateway [Mitigated].” It 
should come up by default in this step. But if it does not, click on “user” in the left hand 
column of the window. Then, click on the “Virtual Box VMs” folder.  Then, click on the 
“Whonix-Gateway [Mitigated]” folder.  You will find the file you need to open in that 
location.  

Chapter 4g. Malware Mitigation.
background image

75. When returned to the “Settings” screen, click the “OK” button.

Chapter 4g. Malware Mitigation.
background image

76. When you are returned to the VirtualBox Manager, click on “Whonix-Workstation 

[Mitigated]” to select it and click on the “Settings” button.

Chapter 4g. Malware Mitigation.
background image

77. In the window that appears, click on “Storage” on the left side of the window.  Then, click 

the small icon that looks like a circular disk with a “+” sign on it towards the bottom of the 
window and select  “Add Hard Disk.”

Chapter 4g. Malware Mitigation.
background image

78. On the next screen, click on the “Choose existing disk” button.

79. In the next window that appears, you will need to navigate to a new location. Click on the 

“Virtual Box VMs” folder button towards the top of the window.  Then, double click on the 
“Whonix-Workstation [Mitigated]” folder to open the folder.  

Chapter 4g. Malware Mitigation.
background image

80. Next, select “Whonix-Workstation [Mitigated]-disk1.vmdk” and click the “Open” button.

Chapter 4g. Malware Mitigation.
background image

81. When you are returned to the “settings” window, click the “OK” button.

Chapter 4g. Malware Mitigation.
background image

82. When you are returned to the VirtualBox Manager, select “Whonix-Workstation 

[Mitigated]” and click “Snapshots.”

83. Click on the camera icon towards the upper center of the screen to take a snapshot of the 

“Whonix-Workstation [Mitigated]” virtual machine.

Chapter 4g. Malware Mitigation.
background image

84. On the next screen, choose the name you want for your snapshot and then click the “OK” 

button.

85. Next, click on “Whonix-Gateway [Mitigated]” in the VirtualBox Manager and click on the 

camera icon towards the upper center of the screen to take a snapshot of the “Whonix-
Gateway [Mitigated]” virtual machine.

Chapter 4g. Malware Mitigation.
background image

86. On the next screen, choose the name you want for your snapshot and then click the “OK” 

button.

Congratulations! You have reached the end of the steps necessary to configure the 
“Malware Mitigation” system.  The next page will provide explanation on how it works 
and how you should use it in the future.   
 

Chapter 4g. Malware Mitigation.
background image

IMPORTANT!  DO NOT SKIP THIS PAGE!

Now that you have the malware mitigation system installed, here is an explanation of how it 

works.  When you changed the two Whonix virtual disks to “immutable,” this makes it so they will 
be erased and restored from the most recent snapshot connected to the virtual machine on every 
boot.  Thus, every time you start “Whonix-Gateway [Mitigated]” and “Whonix-Workstation 
[Mitigated],” anything that was written to the immutable disks will be erased unless you specifically 
chose to take snapshots.  The benefit of this is that, if you obtained malware during any regular use 
of the virtual machines, unless it was advanced enough to break out of the virtual machines and 
infect your Host OS, it will be gone the next time you use the Whonix “Mitigated” virtual 
machines.

With that in mind, there is something that is incredibly important  for you to 

understand.  Any documents you create, or files you download to the system will be erased on 
the next boot unless you save them in your “/home/user/storage” directory.  
The “storage” 
directory that you created earlier is connected to a disk that you configured as a “writethrough” 
device.  This means that it is not affected by snapshots and, thus, will not be erased on reboots.  All 
of the programs that you configured in the earlier subchapters of Chapter 4 have been moved to this 
directory.  Therefore, when you add new servers to HexChat, download new e-mail, add other 
people's public encryption keys, add new accounts and passwords to KeePassX, etc., they will not 
be erased on next boot.  Therefore, for anything else that you work on which you do not want to be 
erased on the next boot, you must save them in your “storage” directory.

There is one more very important strategy to using this system.  It deals with installing 

periodic OS updates to your Whonix virtual machines in order to keep them the most current with 
application updates, security patches, etc.  When you do an upgrade to your system by the steps 
described in steps 70 and 86 of Chapter 3, which is something you should do regularly, make sure 
you have not used the virtual machines for anything else during that session.
  Start both the 
“Whonix-Gateway [Mitigated]” and “Whonix-Workstation [Mitigated]” virtual machines.  Then, 
open a terminal in each and run the “sudo apt-get update && sudo apt-get dist-upgrade” 
command.  When the upgrade has finished, shut down your machine as usual.  Then, create a new 
snapshot for both the “Whonix-Gateway [Mitigated]” and “Whonix-Workstation [Mitigated]” 
virtual machines as you did in steps 76-79 above.
  Once you take the snapshots following the 
shutdown of the virtual machines you updated, the OS updates will stay persistent through the next 
uses of the virtual machines.

That's all there is to it.  As usual keep the following practices in mind to avoid malware 

infection:

1. Do not EVER use the Host OS for anything but hosting the Whonix virtual 

machines. This betters your odds of keeping it free of malware.  If your Host OS is 
compromised, none of the protections otherwise afforded to you by Whonix are 
secure.

2. Do not use javascript in your web browser unless absolutely necessary. If you must 

use it for some sites, try to minimize the sites that you allow to send you javascript in 
the session through selective use of the NoScript plugin.

3. Beware of suspicious links sent to you through the IRC, your instant messenger, e-

mail lists or anywhere else.  

4. Be wary of attachments sent to you in e-mail, especially if you did not ask for them.  

Click here to continue to Chapter 5.