Como tener tu propia máquina de análisis de malware

Si te gusta eso de diseccionar software y te apetece probar con el malware, en este artículo me voy a centrar en como tener tu propio laboratorio de análisis de malware. La forma más práctica y más segura de hacerlo es utilizando un entorno virtualizado, ya que un entorno como este te permite tener la posibilidad de generar sucesos dentro de este sistema operativo y controlar aspectos y variables que influyen en la ejecución de aplicaciones; una vez que logres un hallazgo interesante, o que el entorno esté tan comprometido que no puedas seguir trabajando, simplemente puedes volver a un estado anterior y retomar el análisis.

El trabajo en entornos virtualizados sobre todo si estamos comenzando en el mundo de la seguridad informática o necesitamos un entorno para probar nuestras aplicaciones (el caso de los programadores) nos permite tener un entorno controlado, seguro y aislado en el que si comente un fallo no se ve comprometido el sistema anfitrión y nos permite volver a un estado inicial

Existen muchas distribuciones en Linux que nos permiten hacer este trabajo (que serán tratadas en otras entradas), pero para este paso a paso me voy a centrar en Flare VM desarrollada por la empresa de seguridad FireEye.

Los pasos que vamos a seguir son los siguientes:

  1.  Instalar el software de virtualización
  2.  Obtener / crear nuestra máquina virtual Windows
  3.  Actualizar la máquina virtual e instalar las herramientas de análisis
  4.  Aislar la máquina virtual del sistema operativo anfitrión
  5.  Proceder al análisis de muestras de malware

Paso 1: Instalar el software de virtualización.

La ventaja que nos proporciona el uso de máquinas virtuales, a parte de los aspectos comentados con anterioridades, nos permite la posibilidad de tener distintas ejecutándose al mismo tiempo y de obtener todo un entorno de red virtualizado para tus análisis. Para ello hay que instalar el software de virtualización con el que te sientas más cómodo, tenemos las opciones gratuitas de Virtual Box (Oracle) o Hyper-V software que viene con el propio Windows. Como opción comercial tenemos a VMware Workstation Pro (existe una versión gratuita limitada VMware Player) En el caso de usar servidores de máquinas virtuales para preparar el laboratorio una buena opción es VMware vSphere Hypervisor (formato ESXi), el cual también es gratuito. Es importante recordad que si vamos a virtualizar debemos activar en la BIOS de nuestra máquina las intrucciónes de virtualización del procesador.

Paso 2: Obtener / Crear nuestra máquina virtual.

En el caso de no disponer de una licencia de Windows, podemos descargar directamente maquinas virtuales que Microsoft pone a nuestra disposición  o bien descargar una ISO con la herramienta de creación de medios de Microsoft. Si hemos descargado la maquina virtual ya creada solo tenemos que abrirla con nuestro software de virtualización. En el caso de usar la ISO, crearemos la máquina siguiendo los pasos necesarios según el software de virtualización y creamos la máquina de la misma forma que si estuviéramos instalando el sistema operativo en un equipo. Una vez preparada la máquina virtual vamos con el siguiente paso.

Paso 3: Actualizar la máquina virtual e instalar las herramientas de análisis.

En este punto me voy a centrar exclusivamente en Flare VM Para ello debemos descargar los scripts que automatizan el proceso desde la web de GitHub y seguir las instrucciones de instalación. Nos pide como requisito mínimo un Windows 7 SP1, pero dado que su soporte termina el próximo mes de enero, es mejor usar un Windows 10, como base para crear muestro laboratorio de análisis. El primer paso es actualizar la instalación de Windows con todos los parches de actualización antes de proceder a la ejecución de los scripts.

Una vez actualizada la maquina virtual  descomprimimos el fichero zip descargado en una carpeta y abrimos una ventana de Pwershell en modo administrador y nos posicionamos en la carpeta de los scripts donde se encuentra el fichero install.ps1 y se ejecutan los siguientes comandos:

  • Set-ExecutionPolicy Unrestricted

elimina la restricción de ejecución de scripts temporalmente (eliminamos la restricción solo para la ejecución de este scipt)

  • .\install.ps1

El script lanza el proceso de instalación del entorno  (Boxstarter) y de la descarga de las aplicaciones que componen la distribución. el proceso pedirá el usuario y contraseña de administrador al inicio del proceso. Dependiendo e la potencia de tu equipo este proceso se alargará durante un par de horas y la máquina virtual se reiniciará varias veces. Una terminado el proceso tecleas exit en el powershell y reinicias la máquina y ya tienes listo tu laboratorio de análisis de malware..

 

Paso 4: Asilar la máquina virtual del sistema operativo anfitrión.

Como en este entorno se va a trabajar con muestras y aplicaciones potencialmente dañinas para nuestros equipos o nuestra red, antes de comenzar a trabajar con ella apagamos la maquina virtual y configuramos las siguientes aspectos en las opciones de configuración de dicha máquina:

  • Deshabilitar los directorios compartidos.
  • Deshabilitar el acceso físico a la red.
  • Desactivar el antivirus de la máquina virtual.
  • Usar un método seguro de intercambio de ficheros entre la máquina física y entorno virtual.
  • Se muy cuidadoso y aseguraté que estás infectando la máquina correcta.

Desactivando los directorios compartidos hacemos más difícil que alguna muestra de malware infecte nuestro equipo físico. Hay que tener en cuenta que el uso de  las utilidades del software de virtualización como las VirtualBox Guest Additions o las VMware Tools, perimite el intercambio de contenido a través del portapapeles habilitando una posible vía de escape al malware, luego debemos buscar una forma segura de introducir contenido en nuestro laboratorio sin afectar a nuestro sistema anfitrión (Un stick USB convenientemente protegido sería la opción más razonable). En cuanto al acceso físico a la red su nuestro laboratorio es una sola máquina virtual seleccionamos el modo host-only en las propiedades del adaptador de red de la maquina virtual si se va a trabajar con varias máquinas la mejor opción es habilitar una red privada virtual aislada del resto para el entorno de análisis

El propio script de Flare VM ya lo hace pero aún así nos aseguraremos que tanto el antivirus de Windows, como Windows Update están desactivados antes de comenzar a trabajar en nuestro laboratorio. Ten siempre presente que vas a trabajar con muestras de virus y de malware

Paso 5: Proceder al análisis de muestras de malware.

Si ya tenemos listo nuestro laboratorio de trabajo es hora de comenzar a trabajar para ello podemos dar los primeros pasos en Flare VM con esta entrada en la web de FireEye

 

 

 

 

Deja un comentario