Cómo Tener tu Propia Máquina de Análisis de Malware.
Si te gusta diseccionar software y estás interesado en analizar malware, este artículo te mostrará cómo montar tu propio laboratorio de análisis de malware. La manera más práctica y segura de hacerlo es utilizando un entorno virtualizado. Este tipo de entorno permite generar y controlar eventos dentro del sistema operativo, influir en la ejecución de aplicaciones, y revertir a un estado anterior si el entorno se compromete demasiado para seguir trabajando.
Trabajar en entornos virtualizados es especialmente útil si estás empezando en el mundo de la seguridad informática o necesitas un entorno seguro para probar tus aplicaciones, como es el caso de los programadores. Un entorno virtualizado ofrece un espacio controlado y aislado donde, en caso de error, el sistema anfitrión no se verá afectado y podrás regresar a un estado inicial.
Existen muchas distribuciones en Linux que permiten hacer este trabajo (tratadas en otros artículos), pero aquí nos centraremos en Flare VM, desarrollado por la empresa de seguridad FireEye.
Los pasos que vamos a seguir son los siguientes:
- Instalar el software de virtualización
- Obtener / crear nuestra máquina virtual Windows
- Actualizar la máquina virtual e instalar las herramientas de análisis
- Aislar la máquina virtual del sistema operativo anfitrión
- Proceder al análisis de muestras de malware
Paso 1: Instalar el software de virtualización.
El uso de máquinas virtuales no solo te permite ejecutar varias instancias simultáneamente, sino también crear un entorno de red virtualizado para tus análisis. Instala el software de virtualización que prefieras. Las opciones gratuitas incluyen VirtualBox (Oracle) y Hyper-V (incluido en Windows). Como opción comercial, tienes VMware Workstation Pro (y su versión gratuita limitada, VMware Player). Si utilizas servidores de máquinas virtuales para preparar tu laboratorio, VMware vSphere Hypervisor (formato ESXi) es una buena opción y también es gratuito. Recuerda activar las instrucciones de virtualización del procesador en la BIOS de tu máquina.
Paso 2: Obtener / Crear nuestra máquina virtual.
Si no dispones de una licencia de Windows, puedes descargar máquinas virtuales que Microsoft ofrece o usar una ISO con la herramienta de creación de medios de Microsoft. Abre la máquina virtual descargada con tu software de virtualización o crea una desde la ISO siguiendo los pasos del software de virtualización. Una vez creada, estás listo para el siguiente paso.
Paso 3: Actualizar la máquina virtual e instalar las herramientas de análisis.
Nos enfocaremos en Flare VM. Descarga los scripts desde GitHub y sigue las instrucciones de instalación. Es mejor usar Windows 10, dado que el soporte para Windows 7 SP1 terminó. Primero, actualiza Windows con todos los parches disponibles. Luego, descomprime el archivo zip descargado en una carpeta y abre PowerShell en modo administrador. Navega a la carpeta de los scripts donde se encuentra el archivo install.ps1 y ejecuta los siguientes comandos:
Set-ExecutionPolicy Unrestricted
.\install.ps1
- .\install.ps1
El script iniciará el proceso de instalación del entorno (Boxstarter) y descargará las aplicaciones necesarias. El proceso puede tomar un par de horas y reiniciará la máquina virtual varias veces. Una vez terminado, escribe exit en PowerShell y reinicia la máquina para completar la configuración de tu laboratorio de análisis de malware.
Paso 4: Asilar la máquina virtual del sistema operativo anfitrión.
Como en este entorno se va a trabajar con muestras y aplicaciones potencialmente dañinas para nuestros equipos o nuestra red, antes de comenzar a trabajar con ella apagamos la maquina virtual y configuramos las siguientes aspectos en las opciones de configuración de dicha máquina:
- Deshabilitar los directorios compartidos.
- Deshabilitar el acceso físico a la red.
- Desactivar el antivirus de la máquina virtual.
- Usar un método seguro de intercambio de ficheros entre la máquina física y entorno virtual.
- Se muy cuidadoso y asegúrate que estás infectando la máquina correcta.
Desactivando los directorios compartidos hacemos más difícil que alguna muestra de malware infecte nuestro equipo físico. Hay que tener en cuenta que el uso de las utilidades del software de virtualización como las VirtualBox Guest Additions o las VMware Tools, permite el intercambio de contenido a través del portapapeles habilitando una posible vía de escape al malware, luego debemos buscar una forma segura de introducir contenido en nuestro laboratorio sin afectar a nuestro sistema anfitrión (Un stick USB convenientemente protegido sería la opción más razonable). En cuanto al acceso físico a la red su nuestro laboratorio es una sola máquina virtual seleccionamos el modo host-only en las propiedades del adaptador de red de la maquina virtual si se va a trabajar con varias máquinas la mejor opción es habilitar una red privada virtual aislada del resto para el entorno de análisis
El propio script de Flare VM ya lo hace pero aún así nos aseguraremos que tanto el antivirus de Windows, como Windows Update están desactivados antes de comenzar a trabajar en nuestro laboratorio. Ten siempre presente que vas a trabajar con muestras de virus y de malware
Paso 5: Proceder al análisis de muestras de malware.
Si ya tenemos listo nuestro laboratorio de trabajo es hora de comenzar a trabajar para ello podemos dar los primeros pasos en Flare VM con esta entrada en la web de FireEye
- Reverse-Engineering Malware Cheat Sheet
- Analyzing Malicious Documents Cheat Sheet
- Tips for Reverse-Engineering Malicious Code
- Mastering 4 Stages of Malware Analysis
- Introduction to Malware Analysis Webcast
