[[377165]]

 概述

對(duì)于每個(gè)惡意軟件研究人員來(lái)說(shuō)，通常第一件事情就是搭建得心應(yīng)手的惡意軟件分析環(huán)境。當(dāng)所有的系統(tǒng)配置和軟件安裝完成后，就可以正確地分析和研究惡意軟件了。在這篇文章中，將為讀者分享我們自己的分析環(huán)境搭建經(jīng)驗(yàn)和所需腳本，以幫助大家少走些彎路。

在這篇文章中，將為大家介紹：

· 下載、安裝和配置一個(gè)免費(fèi)的Windows 10和一個(gè)免費(fèi)的REMnux Linux虛擬機(jī)。

· 建立虛擬專(zhuān)用網(wǎng)絡(luò)，以便在虛擬機(jī)之間進(jìn)行通信。

· 使用SentinelLabs RevCore Tools搭建自定義的Windows惡意軟件環(huán)境。

· 學(xué)習(xí)如何從Windows 10虛擬機(jī)中捕獲網(wǎng)絡(luò)流量。

安裝虛擬機(jī)

當(dāng)運(yùn)行多個(gè)虛擬機(jī)時(shí)，主機(jī)操作系統(tǒng)會(huì)開(kāi)始變慢，所以設(shè)置每個(gè)虛擬機(jī)的最佳需求來(lái)優(yōu)化其性能至關(guān)重要。在設(shè)置本篇文章中的虛擬機(jī)時(shí)，筆者建議至少為Windows 10虛擬機(jī)分配兩個(gè)處理器核心與4GB內(nèi)存，為L(zhǎng)inux虛擬機(jī)分配兩個(gè)處理器核心與2GB內(nèi)存。

下載免費(fèi)的Windows 10安裝包

實(shí)際上，微軟為用戶提供了一個(gè)免費(fèi)的虛擬機(jī)，來(lái)測(cè)試IE和Edge網(wǎng)頁(yè)瀏覽器。要下載微軟的虛擬機(jī)，請(qǐng)導(dǎo)航至https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/，下載MSEdge on Windows 10 zip文件，然后，選擇自己喜歡的虛擬機(jī)平臺(tái)，目前我使用的是VM Fusion。

下載REMnux Linux

接下來(lái)，我們要下載的虛擬機(jī)是REMnux Linux。REMnux發(fā)行版是一個(gè)基于Ubuntu的Linux發(fā)行版。它為探索網(wǎng)絡(luò)交互行為和研究惡意軟件的系統(tǒng)級(jí)交互提供了許多非常棒的工具。要下載REMnux，請(qǐng)導(dǎo)航至https://docs.remnux.org/install-distro/get-virtual-appliance，并下載相應(yīng)的虛擬機(jī)平臺(tái)。

安裝和配置專(zhuān)用隔離自定義網(wǎng)絡(luò)。

在分析惡意軟件時(shí)，搭建一個(gè)隔離的、受控的網(wǎng)絡(luò)環(huán)境是極其重要的，因?yàn)樗c惡意軟件的交互級(jí)別很高。VMware Fusion允許我們修改關(guān)鍵的網(wǎng)絡(luò)設(shè)置并添加虛擬專(zhuān)用網(wǎng)絡(luò)配置以用于主機(jī)之間的分析。在這個(gè)實(shí)驗(yàn)室環(huán)境中，我們只添加了兩臺(tái)虛擬機(jī)，但實(shí)際上，您可以根據(jù)自己的需要，在這個(gè)網(wǎng)絡(luò)中添加更多虛擬機(jī)。這個(gè)網(wǎng)絡(luò)的創(chuàng)建給出如下所示：

· 選擇選項(xiàng)卡VMware Fusion->Preferences->Network，并點(diǎn)擊鎖形圖標(biāo)進(jìn)行修改。

· 選擇“+”按鈕，以便在“Custom”窗口中創(chuàng)建一個(gè)vmnet#。

· 不要選擇“Allow Virtual machines on this network to connect to external networks (using NAT)”選項(xiàng)。

· 添加子網(wǎng)IP，這里輸入的是10.1.2.0。

· 點(diǎn)擊Apply按鈕

安裝Windows 10

創(chuàng)建好自定義網(wǎng)絡(luò)，并下載兩個(gè)虛擬機(jī)后，接下來(lái)要做的就是解壓MSEdge Windows 10。由于我使用的是VMware Fusion，因此，這里將介紹如何導(dǎo)入其虛擬映像;不過(guò)，其他平臺(tái)導(dǎo)入虛擬機(jī)的過(guò)程與此類(lèi)似，這里就不做介紹了。

打開(kāi)VMware Fusion，并執(zhí)行以下操作：

· 解壓zip文件后，進(jìn)入MSEdge-Win10-VMware文件夾。

· 通過(guò)File->Import MSEdge_Win10_VMware選中VMware Fusion，點(diǎn)擊Continue按鈕，并保存虛擬機(jī);注意，導(dǎo)入鏡像可能需要幾分鐘時(shí)間。

· 導(dǎo)入鏡像后，點(diǎn)擊Customize Settings按鈕。

· 點(diǎn)擊進(jìn)入Processors & Memory選項(xiàng)卡，確認(rèn)配置為兩個(gè)處理器核心，內(nèi)存為4096MB。

· 在啟動(dòng)MSEdge Win10虛擬機(jī)之前，先為其建立一個(gè)“快照”，并起一個(gè)類(lèi)似“VM Clean Import”之類(lèi)的名字。

· 啟動(dòng)虛擬機(jī)時(shí)，如果提示要升級(jí)虛擬機(jī)以獲得更大的功能兼容性支持，選擇升級(jí)Upgrade。

· 虛擬機(jī)的密碼是Passw0rd!

· 打開(kāi)命令提示符激活虛擬機(jī)，輸入slmgr.vbs /ato。

· 按照提示安裝VMware的“Virtual Tools”并重啟虛擬機(jī)。

· 虛擬機(jī)重啟后，登錄并立即建一個(gè)快照，并給它一個(gè)描述性的名稱(chēng)，例如“Activation and VM Tools Install”。

安裝REMnux

我們下載的REMnux虛擬機(jī)的安裝文件為.ova格式。在這里，我們建議您瀏覽docs.REMnux.org網(wǎng)站，并確認(rèn)下載的OVA文件的哈希值是否正確。

如果您使用的是VirtualBox，則可以直接導(dǎo)入REMnux;如果您使用的是VMware Fusion或VMware Workstation，請(qǐng)按照以下說(shuō)明導(dǎo)入REMnux：

· 選擇File->Import->Choose File… ，然后選擇remnux-v7，點(diǎn)擊Continue按鈕，然后繼續(xù)單擊Save按鈕。

· 導(dǎo)入完成后，點(diǎn)擊“Customize Settings”選項(xiàng)。

· 點(diǎn)擊進(jìn)入“System Settings”下的“Processors & Memory”窗格，保持兩個(gè)處理器核心的設(shè)置不變，并將內(nèi)存容量從4096MB減少為2048MB。

· 對(duì)于REMnux網(wǎng)絡(luò)配置，設(shè)置略有不同：我們要添加一個(gè)網(wǎng)絡(luò)適配器。

注意：我這樣配置這個(gè)虛擬機(jī)是處于多種考慮：首先，如果需要更新或下載其他軟件，網(wǎng)絡(luò)適配器配置可以節(jié)省時(shí)間;其次，這里考慮到了是否允許惡意軟件callout。

一旦導(dǎo)入完成，請(qǐng)進(jìn)入“Settings”菜單，選擇Network Adapter。之后，請(qǐng)點(diǎn)擊Add Device… 選項(xiàng)，然后選擇Network Adapter和Add…選項(xiàng)。注意，一定要選中“Share with my Mac”單選按鈕。接著，返回“Settings”主面板，選擇“Network Adapter 2”。此后，點(diǎn)擊vmnet2單選按鈕，并選擇“Show All”。

啟動(dòng)REMnux虛擬機(jī)時(shí)，如果提示要升級(jí)虛擬機(jī)以獲得更大的功能兼容性支持，請(qǐng)選擇升級(jí)。

REMnux啟動(dòng)后，需要輸入相關(guān)憑證，其中，用戶名為remnux，密碼為malware。

最好修改虛擬機(jī)的密碼，相關(guān)命令如下所示：

$passwd 
      UNIX password: malware 
      Enter new UNIX password: (your choice) 

 下一步是配置網(wǎng)絡(luò)設(shè)置。如果您輸入ifconfig -a，應(yīng)該會(huì)看到兩個(gè)網(wǎng)絡(luò)適配器。

為第一個(gè)網(wǎng)絡(luò)適配器選擇NAT。這樣，虛擬機(jī)將從VMware虛擬DHCP服務(wù)器獲得該網(wǎng)絡(luò)的地址。這時(shí)，可以ping一下google，看看能夠正常連接，或者打開(kāi)Firefox瀏覽器，連接到任何網(wǎng)站，以確認(rèn)能否訪問(wèn)互聯(lián)網(wǎng)。如果遇到問(wèn)題，那么，可以在終端輸入命令：$ sudo dhclient -r ，以便獲取一個(gè)IP。

對(duì)于第二個(gè)適配器ens37，請(qǐng)輸入下列命令：

$ sudo ifconfig ens37 10.1.2.1 netmask 255.255.255.0 

點(diǎn)擊“Snapshot”按鈕，并將其命名為“Clean Snapshot”。

更新并升級(jí)REMnux：

$ sudo apt-get update; sudo apt-get upgrade 

安裝SentinelLabs RevCore Tools

之所以要?jiǎng)?chuàng)建一個(gè)SentinelLabs VM Bare Bones惡意軟件分析工具包，原因之一是在安裝FlareVM時(shí)，發(fā)現(xiàn)其中含有許多我用不到的工具，而且安裝時(shí)間需要至少40分鐘。所以，我們打算創(chuàng)建一個(gè)只包含核心工具和系統(tǒng)配置的腳本，只要能夠滿足分析惡意軟件的最低需求即可。

為此，可以按照下面的步驟在MSEdge WIndows 10上安裝SentinelLabs RevCore Tools：

導(dǎo)航至SentinelLabs RevCore Tools的github頁(yè)面并下載zip安裝文件。

解壓，并將SentinelLabs_RevCore_Tools_codeSnippet.ps1 腳本拖到桌面上。

如果您使用的是上面提到的免費(fèi)下載的Windows 10虛擬機(jī)，請(qǐng)進(jìn)入步驟4;如果您使用的是自己的Windows虛擬機(jī)，請(qǐng)繼續(xù)這些子步驟：

· 不要只拖動(dòng)SentinelLabs_RevCore_Tools_codeSnippet.ps1，而是將整個(gè)文件夾拖到虛擬機(jī)桌面上。

· 打開(kāi)SentinelLabs_RevCore_Tools_codeSnpippet.ps1文件，修改-PackageName之后的第4行，修改url并將其改為桌面上的目錄位置。例如，將“https://raw.githubusercontent.com/SentineLabs/SentinelLabs_RevCore_Tools/master/SentinelLabs_RevCore_Tools.ps1”改為“c:\Users\yourUsername\Desktop\SentinelLabs_RevCore_Tools-main\SentinelLabRevCoreTools.ps1”。

最后，修改SentinelLabsRevCoreTools.ps1。在第105-117行，將IEUser替換為您使用的用戶配置文件名稱(chēng)。保存所有文件，并運(yùn)行腳本：

· Install-ChocolateyShortcut -ShortcutFilePath "C:\Users\IEUser\Desktop\HxD.lnk" -TargetPath "C:\Program Files\HxD\HxD.exe"

· Install-ChocolateyShortcut -ShortcutFilePath "C:\Users\YourUser Profile\Desktop\HxD.lnk" -TargetPath "C:\Program Files\HxD\HxD.exe"

轉(zhuǎn)到第5步。

在Windows 10搜索欄中，鍵入powershell，右鍵單擊并以管理員身份運(yùn)行。導(dǎo)航至Powershell腳本SentinelLabs_RevCore_Tools_codeSnippet.ps1所在位置，然后運(yùn)行該腳本：

.\SentinelLabs_RevCore_Tools_codeSnippet.ps1

該腳本將導(dǎo)致兩次自動(dòng)重新啟動(dòng)，每次重啟后您都需要通過(guò)用戶密碼進(jìn)行登錄。第一次重新啟動(dòng)將繼續(xù)禁用各種系統(tǒng)服務(wù)，否則這些服務(wù)可能會(huì)阻止惡意軟件分析并繼續(xù)安裝核心工具。第二次重啟后，腳本將結(jié)束運(yùn)行，并確認(rèn)所有配置和安裝。

下面列出了已安裝的工具和修改的系統(tǒng)配置。當(dāng)看到提示“Type ENTER to exit”時(shí)，不要忘了建立一個(gè)快照。

工具：

Checksum, 7zip, Process Explorer, Autoruns, TCPview, Sysmon, HxD, PEbear, PEStudio, PEsieve, Cmder, NXlog, X64dbg, X32dbg, Ollydbg, IDA-Free, Cutter, Ghidra, Openjdk11, Python3, PIP, PIP pefile, PIP Yara。

· 我經(jīng)常使用的一款工具是Hiew，但是Chocolatey并沒(méi)有將其收錄進(jìn)來(lái)。我的建議是下載并試用免費(fèi)版本。

系統(tǒng)配置：

· 禁用下列功能：Bing搜索，游戲欄提示，計(jì)算機(jī)還原，UAC，系統(tǒng)更新，防火墻，Windows Defender，操作中心

· 設(shè)置窗口主題，設(shè)置墻紙，創(chuàng)建工具快捷方式

小結(jié)

對(duì)于每個(gè)惡意軟件研究人員來(lái)說(shuō)，通常第一件事情就是搭建得心應(yīng)手的惡意軟件分析環(huán)境。當(dāng)所有的系統(tǒng)配置和軟件安裝完成后，就可以正確地分析和研究惡意軟件了。在這篇文章中，將為讀者分享我們自己的分析環(huán)境搭建經(jīng)驗(yàn)和所需腳本，由于篇幅過(guò)大，我們將分為上下兩篇進(jìn)行解釋。更多精彩內(nèi)容，敬請(qǐng)期待!

(未完待續(xù))

本文翻譯自：https://labs.sentinelone.com/building-a-custom-malware-analysis-lab-environment/如若轉(zhuǎn)載，請(qǐng)注明原文地址。