概述对于每个恶意软件研究人员来说,通常第一件事就是构建一个方便的恶意软件分析环境。当所有系统配置和软件安装完成后,就可以对恶意软件进行适当的分析和研究。在本文中,我们将分享自己搭建分析环境的心得和需要的脚本,帮助读者少走弯路。在本文中,我将向您介绍:下载、安装和配置免费的Windows10和免费的REMnuxLinux虚拟机。·为虚拟机之间的通信建立一个虚拟专用网络。·使用SentinelLabsRevCore工具构建自定义Windows恶意软件环境。·了解如何从Windows10虚拟机捕获网络流量。安装虚拟机当运行多个虚拟机时,主机操作系统开始变慢,因此为每个虚拟机设置最佳要求对于优化其性能至关重要。在设置本文中的虚拟机时,作者建议Windows10虚拟机至少两个处理器内核和4GB内存,Linux虚拟机至少两个处理器内核和2GB内存。下载免费的Windows10安装包事实上,微软为用户提供了一个免费的虚拟机来测试IE和Edge网络浏览器。下载微软的虚拟机,导航到https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,下载MSEdgeonWindows10zip文件,然后选择你喜欢的虚拟机平台,目前我'使用VM融合。下载REMnuxLinux接下来我们要下载的虚拟机是REMnuxLinux。REMnux发行版是一个基于Ubuntu的Linux发行版。它为探索网络交互行为和研究恶意软件的系统级交互提供了许多很棒的工具。要下载REMnux,请导航至https://docs.remnux.org/install-distro/get-virtual-appliance,然后下载相应的虚拟机平台。安装和配置专用隔离自定义网络。在分析恶意软件时,由于与恶意软件的交互程度很高,因此拥有一个隔离且受控的网络环境极为重要。VMwareFusion允许我们修改关键网络设置并添加虚拟专用网络配置以在主机之间进行分析。在此实验室环境中,我们只添加了两个虚拟机,但您实际上可以根据需要向该网络添加更多虚拟机。该网络的创建如下所示:·选择V??MwareFusion->Preferences->Network选项卡,然后单击锁定图标进行修改。·选择“+”按钮在“自定义”窗口中创建一个vmnet#。·不要选择“允许此网络上的虚拟机连接到外部网络(使用NAT)”选项。·添加子网IP,这里输入10.1.2.0。·单击“应用”按钮安装Windows10创建自定义网络并下载两个虚拟机后,接下来要做的就是解压MSEdgeWindows10。由于我使用的是VMwareFusion,这里介绍如何导入其虚拟映像;不过其他平台导入虚拟机的过程都是类似的,这里就不再介绍了。打开VMwareFusion并执行以下操作:解压缩zip文件后,转到MSEdge-Win10-VMware文件夹。·通过File->ImportMSEdge_Win10_VMware选择VMwareFusion,点击Continue按钮,保存虚拟机;请注意,导入图像可能需要几分钟时间。·导入图像后,单击自定义设置按钮。·点击进入Processors&Memory选项卡,确认配置为两个处理器核心,内存为4096MB。·在启动MSEdgeWin10虚拟机之前,为它创建一个“快照”,并给它取一个名字,比如“VMCleanImport”。·启动虚拟机时,如果提示升级虚拟机以获得更大的功能兼容性支持,选择升级。·虚拟机的密码是Passw0rd!·打开命令提示符激活虚拟机,输入slmgr.vbs/ato。·按照提示安装VMware的“VirtualTools”并重启虚拟机。虚拟机重新启动后,登录并立即拍摄快照并为其指定一个描述性名称,例如“ActivationandVMToolsInstall”。安装REMnux我们下载的REMnux虚拟机的安装文件是.ova格式的。在这里,我们建议您浏览docs.REMnux.org网站并确认下载的OVA文件的哈希值是否正确。如果你使用的是VirtualBox,可以直接导入REMnux;如果您使用的是VMwareFusion或VMwareWorkstation,请按照以下说明导入REMnux:选择File->Import->ChooseFile…,然后选择remnux-v7,单击Continue按钮,然后继续并单击Save按钮。·导入完成后,点击“自定义设置”选项。·点击进入“SystemSettings”下的“Processors&Memory”面板,保持两个处理器核心的设置不变,内存容量从4096MB减少到2048MB。·对于REMnux网络配置,设置略有不同:我们要添加一个网络适配器。注意:我这样配置这个虚拟机是出于多方面的考虑:第一,网络适配器配置可以节省时间,如果你需要更新或下载其他软件;其次,考虑是否允许恶意软件标注。导入完成后,转到“设置”菜单并选择网络适配器。之后,单击“添加设备...”选项,然后选择“网络适配器”和“添加...”选项。请注意,请务必选择“与我的Mac共享”单选按钮。接下来,返回主设置面板并选择网络适配器2。然后,单击vmnet2单选按钮并选择“全部显示”。启动REMnux虚拟机时,如果提示升级虚拟机以获得更好的功能兼容性支持,请选择升级。REMnux启动后,需要输入相关凭证,其中用户名为remnux,密码为malware。最好更改虚拟机的密码。相关命令如下:$passwdUNIXpassword:malwareEnternewUNIXpassword:(yourchoice)下一步是配置网络设置。如果您键入ifconfig-a,您应该会看到两个网络适配器。为第一个网络适配器选择NAT。这样,虚拟机将从VMware虚拟DHCP服务器获取该网络的地址。这时候可以ping谷歌看是否可以正常连接,或者打开火狐浏览器连接任意一个网站,确认是否可以上网。如果遇到问题,可以在终端输入命令:$sudodhclient-r获取IP。对于第二个适配器ens37,输入以下命令:$sudoifconfigens3710.1.2.1netmask255.255.255.0单击“快照”按钮并将其命名为“清理快照”。更新和升级REMnux:$sudoapt-getupdate;sudoapt-getupgrade安装SentinelLabsRevCoreTools创建SentinelLabsVMBareBones恶意软件分析工具包的原因之一是在安装FlareVM时,我发现它包含许多我不会使用的工具,并且至少需要40分钟来安装.因此,我们打算创建一个只包含核心工具和系统配置的脚本,只要它满足分析恶意软件的最低要求即可。为此,您可以按照以下步骤在MSEdgeWIndows10上安装SentinelLabsRevCoreTools:导航到SentinelLabsRevCoreTools的github页面并下载zip安装文件。将SentinelLabs_RevCore_Tools_codeSnippet.ps1脚本解压并拖到桌面。如果您使用的是上述免费的Windows10虚拟机下载,请继续执行第4步;如果您使用的是自己的Windows虚拟机,请继续执行以下子步骤:不要只拖动SentinelLabs_RevCore_Tools_codeSnippet.ps1,而是将整个文件夹拖动到虚拟机桌面上。打开SentinelLabs_RevCore_Tools_codeSnpippet.ps1文件,修改第4行-PackageName后的url,修改为桌面上的目录位置。例如,将“https://raw.githubusercontent.com/SentineLabs/SentinelLabs_RevCore_Tools/master/SentinelLabs_RevCore_Tools.ps1”更改为“c:\Users\yourUsername\Desktop\SentinelLabs_RevCore_Tools-main\SentinelLabRevCore_Tools.ps1”。最后,修改SentinelLabsRevCoreTools.ps1。在第105-117行,将IEUser替换为您使用的用户配置文件名称。保存所有文件并运行脚本:Install-ChocolateyShortcut-ShortcutFilePath"C:\Users\IEUser\Desktop\HxD.lnk"-TargetPath"C:\ProgramFiles\HxD\HxD.exe"Install-ChocolateyShortcut-ShortcutFilePath"C:\Users\YourUserProfile\Desktop\HxD.lnk"-TargetPath"C:\ProgramFiles\HxD\HxD.exe"转到步骤5。在Windows10搜索栏中,键入powershell,右键单击并以管理员身份运行。导航到Powershell脚本SentinelLabs_RevCore_Tools_codeSnippet.ps1的位置并运行脚本:.\SentinelLabs_RevCore_Tools_codeSnippet.ps1该脚本将导致两次自动重启,每次都需要您使用用户密码登录。第一次重新启动将继续禁用各种系统服务,否则这些服务可能会阻止恶意软件分析并继续安装核心工具。第二次重新启动后,脚本将完成运行并确认所有配置和安装。下面列出了已安装的工具和修改后的系统配置。当您看到提示“TypeENTERtoexit”时,不要忘记创建快照。工具:Checksum,7zip,ProcessExplorer,Autoruns,TCPview,Sysmon,HxD,PEbear,PEStudio,PEsieve,Cmder,NXlog,X64dbg,X32dbg,Ollydbg,IDA-Free,Cutter,Ghidra,Openjdk11,Python3,PIP,PIPpefile,皮皮亚拉。·我经常使用的一个工具是Hiew,但Chocolatey不包括它。我的建议是下载并试用免费版本。系统配置:·禁用以下功能:必应搜索、游戏栏提示、计算机还原、UAC、系统更新、防火墙、WindowsDefender、操作中心·设置窗口主题、设置墙纸、创建工具快捷方式首先要做的是建立一个方便的恶意软件分析环境。当所有系统配置和软件安装完成后,就可以对恶意软件进行适当的分析和研究。在本文中,我们将为读者分享自己的分析环境搭建经验和所需的脚本。由于篇幅较大,我们将分两部分进行讲解。更多精彩内容敬请期待!(未完待续)本文翻译自:https://labs.sentinelone.com/building-a-custom-malware-analysis-lab-environment/如有转载请注明出处。
