FLARE VM, distribución Windows para diseccionar malware

A muchos de nosotros seguramente nos habrá llegado alguna vez algún email con archivos adjuntos que olían a chamusquina o nos ha saltado alguna web intentando descargar alguna clase de ejecutable que olía peor que un calcetín sudado, una gran parte de estos, seguramente borraron el email con el adjunto factura_del_gas.exe con su icono de un pdf y cerraron la web que te descargaba la imagen de Ramona en paños menores (también en formato .exe, para no variar), pero muchos otros tuvieron el valor de descargarlos, ya sea con la intención de ver a Ramona o pagar la factura, o para analizar dichos binarios en busca de algo sospechoso que huele de lejos, también llamado malware.

Para analizar cualquier archivo sospechoso es muy recomendado hacerlo siempre desde una máquina virtual emulando un sistema víctima para así poder observar el comportamiento de ese malware en el entorno virtualizando, a pesar de que alguna clase de malware sea capaz de detectar su ejecución en una maquina virtual (comúnmente por procesos creado por el software de virtualización) y alterar su comportamiento para pasar desapercibido, esto no suele ser lo más común pero podría ocurrir, aún así los análisis se deben realizar en un entorno virtualizado para así también evitar que el sistema anfitrión se vea afectado por alguna de las pruebas como un análisis dinámico.

También necesitaremos para el análisis del malware diversas herramientas como desensambladores, decompiladores, software para la monitorización, debuggers... Como ya bien sabrá cualquier aficionado al reversing y al análisis de malware.

Pues gracias a FLARE VM podremos olvidarnos de tirar nuestro preciado tiempo configurando e instalando herramientas para analizar malware, ya que esta herramienta creada por la gente de FireEye se encargará de descargarnos un montón de herramientas dedicadas al análisis de malware, reversing, análisis forense...

FLARE VM es una especie de máquina virtual que se basa en Windows 7 o superior y que se encargará de armar nuestro laboratorio para el análisis de malware principalmente con herramientas para el debugging, desensamblado, decompiladores, herramientas para el análisis estático y dinámico, análisis y manipulación de red, análisis web, explotación, análisis de vulnerabilidades en aplicaciones...

Los desarrolladores de este proyecto mencionan que se han inspirado en distribuciones Linux orientadas a la seguridad como Kali Linux, REMnux...
Debuggers:

    - OllyDbg + OllyDump + OllyDumpEx
    - OllyDbg2 + OllyDumpEx
    - x64dbg
    - WinDbg

Desensambladores:

    - IDA Free
    - Binary Ninja Demo

Java:

    - JD-GUI
    - dex2jar

Visual Basic:

    - VBDecompiler

Flash:

    - FFDec

.NET:

    - ILSpy
    - DNSpy
    - DotPeek
    - De4dot

Office:

    - Offvis

Editores hexadecimales:

    - FileInsight
    - HxD
    - 010 Editor

PE:

    - PEiD
    - ExplorerSuite (CFF Explorer)
    - PEview
    - DIE
    - PeStudio

Editores de texto:

    - SublimeText3
    - Notepad++
    - Vim

Útiles:

    - MD5
    - 7zip
    - Putty
    - Wireshark
    - RawCap
    - Wget
    - UPX
    - Process Hacker
    - Sysinternals Suite
    - API Monitor
    - SpyStudio
    - Checksum
    - Unxutils

Python, modulos y herramientas:

    - Python 2.7
    - Hexdump
    - PEFile
    - Winappdbg
    - FakeNet-NG
    - Vivisect
    - FLOSS
    - FLARE_QDB
    - PyCrypto
    - Cryptography

Otros:

    - VC Redistributable Modules (2008, 2010, 2012, 2013, 2015)

Instalación:

La instalación es simple, solo tendremos que instalar una versión de Windows 7 o superior en una máquina virtual, cuando hayamos completado la instalación, desde un navegador cualquiera de la máquina virtual deberemos acceder al siguiente link:


Al acceder se nos intentará descargar un archivo llamado Boxstarter.WebLaunch.Application, los descargamos y lo ejecutamos como en la imagen.


Después de la instalación de Boxstarter WebLauncher se te va a presentar una terminal preguntándote por la contraseña de Windows de la máquina virtual esto se debe a que la máquina se reiniciará varias veces para completar la instalación y así se evita introducir repetidamente la contraseña después de cada reinicio.



Ahora deberás esperar a que la instalación se complete automáticamente. Tras acabar la instalación, se recomienda configurar la máquina virtual en Host-Only para así evitar que el malware se conecte directamente a internet o a nuestra red local, también se recomienda tener guardada una snapshot de la máquina virtual totalmente limpia. Tras la instalación el escritorio debería quedar como la siguiente imagen.


En la carpeta FLARE encontraremos todas las herramientas instaladas.

Instalación de paquetes y actualizaciones de FLARE VM:

FLARE VM está constantemente actualizándose y permite un alto nivel de personalización gracias a Chocolatey projects, que es un sistema de paquetes basado en Windows con miles de paquetes disponibles para su descarga. Aquí podrás encontrar una larga lista de todos ellos: https://chocolatey.org/packages. A parte del repositorio de Cholcolatey, FLARE VM usa su propio repositorio que consta de 40 paquetes actualizándose continuamente. Todo esto significa que podrás agregar paquetes a tu máquina virtual, como por ejemplo Firefox en la siguiente imagen.


Para actualizar nuestra FLARE VM simplemente deberemos ejecutar el comando cup all para que automaticamente empiece la actualización como en la siguiente imagen.


Mucha más información junto a un ejemplo de análisis en el siguiente link de FireEye (Fuente): https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html
Y el GitHub del proyecto con diversa documentación util: https://github.com/fireeye/flare-vm

1 comentarios :

  1. ¿Algún valiente hace un tuto analizando el Wannacry?

    ResponderEliminar