Fernando,
Não acho interessante colocar a placa de rede em modo NAT.
Tratando-se de um ambiente para análise de malware, eu uso a rede na máquina de análise em modo de "Rede interna".
Crio outra VM com um "Linux" para fazer a função de Gateway e firewall com 2 adatpadores de rede. Uma no modo "Rede interna" e outra no modo "Gateway".
Nesta VM instalo o IPFire, bloqueio toda a conexão da rede interna e só configuro saída pela porta http e https.
No log do IPFire dá para verificar toda a lógica da infecção. Se o malware tentar conectar com IRC ou outra coisa, cria nova regra no firewall para permitir esta conexão e vejo no log o que está fazendo.
Atenciosamente,
Claudio