FLARE VM

A distribuição Windows para Análise de Malware que você sempre precisou

 

 

FLARE VM é uma distribuição de segurança para análise de malware baseada em Windows livre e aberta. Para o engenheiro engenheiro reverso Peter Kacherginsky da equipe do FLARE, é importante confiar em uma Máquina Virtual (VM) personalizada para realizar análises de malware. Sua máquina virtual utilizada é uma instalação do Windows com inúmeros ajustes e ferramentas para auxiliar minha análise. Para Peter Kacherginsky, infelizmente, tentar manter uma VM personalizada como esta é muito laboriosa: as ferramentas com freqüência ficam desatualizadas e é difícil mudar ou adicionar coisas novas. Há também um medo constante de que se a VM se corromper, seria super tedioso replicar todas as configurações e ferramentas construídas ao longo dos anos. Para resolver este e muitos desafios relacionados, Peter Kacherginsky desenvolveu uma distribuição de segurança padronizada (mas facilmente personalizável) baseada no Windows chamada FLARE VM.

FLARE VM é uma distribuição de segurança para análise de malware baseada em Windows livre e aberta, projetada para engenheiros reversos, analistas de malware, respondentes de incidentes, forenseis e testadores de penetração. Inspirado em distribuições de segurança para análise de malware baseadas em Linux de código aberto como o Kali Linux, o REMnux e outros, a FLARE VM oferece uma plataforma totalmente configurada com uma coleção abrangente de ferramentas de segurança do Windows, como depuradores, desassimiladores, descompiladores, utilitários de análise estática e dinâmica, análise de rede e manipulação, avaliação na web, exploração, aplicações de avaliação de vulnerabilidade e muitos outros.

A distribuição também inclui ferramentas públicas da equipe FLARE para análise de malware, como FLOSS e FakeNet-NG.

 

Como obter

Você deverá ter uma instalação existente do Windows 7 ou superior. Isso permite que você escolha o ambiente exato de versão, patch level, arquitetura e virtualização.

Depois de ter disponível, você pode implantar rapidamente o ambiente FLARE VM visitando o seguinte URL no Internet Explorer (outros navegadores não funcionarão):

http://boxstarter.org/package/url?https://raw.githubusercontent.com/fireeye/flare-vm/master/flarevm_malware.ps1

Depois de navegar para o URL acima no Internet Explorer, você receberá uma caixa de diálogo Boxstarter WebLauncher. Selecione Executar para continuar a instalação conforme ilustrado na Figura 1.

Imagem 1: Instalação do FLARE VM

Após a instalação bem sucedida do Boxstarter WebLauncher, você será apresentado com uma janela de console e mais um prompt para inserir a senha do Windows, conforme mostrado na Figura 2. Sua senha do Windows é necessária para reiniciar a máquina várias vezes durante a instalação sem que seja solicitado que você faça login o tempo todo.

Imagem 2: Boxstarter Prompt de senha

O resto do processo é totalmente automatizado, então prepare-se uma xícara de café ou chá. Dependendo da sua velocidade de conexão, a instalação inicial leva cerca de 30-40 minutos. Sua máquina também será reiniciada várias vezes devido aos inúmeros requisitos da instalação do software. Durante o processo de implantação, você verá os logs de instalação de uma série de pacotes.

Uma vez que a instalação está completa, é altamente recomendável alternar as configurações de rede da Máquina Virtual para o modo Somente de Host para que as amostras de malware não se acertem acidentalmente à Internet ou à rede local. Além disso, faça um Snapshot da máquina virtual para que este estado limpo seja salvo! A instalação final do FLARE VM deve ser igual a Figura 3.

Imagem 3: FLARE VM instalação completa

NOTA: Se você encontrar uma grande quantidade de mensagens de erro, tente simplesmente reiniciar a instalação. Todos os pacotes existentes serão preservados e novos pacotes serão instalados.

 

Começando

A configuração da VM e as ferramentas incluídas foram desenvolvidas ou cuidadosamente selecionadas pelos membros da equipe FLARE que foram dedicados a engenharia reversa de malware, analisando explorações e vulnerabilidades e ensinando aulas de análise de malware por mais de uma década. Todas as ferramentas são organizadas na estrutura de diretórios mostrada na Figura 4.

Imagem 4: Ferramentas da FLARE VM

Enquanto a equipe tenta disponibilizar as ferramentas como um atalho na pasta FLARE, existem várias disponíveis somente na linha de comando. Consulte a documentação on-line em http://flarevm.info para obter a lista mais atualizada.

 

Análise de amostra

Para melhor ilustrar como o FLARE VM pode auxiliar nas tarefas de análise de malware, vamos realizar uma análise básica em uma das amostras que foi usada em um Curso denominado Malware Analysis Crash Course, promovido pela equipe.

Primeiro, obtenhamos alguns indicadores básicos, observando as strings do binário. Para esse exercício, vamos executar a própria ferramenta FLOSS da FLARE, que é um utilitário de string para esteróides. Visite http://flosseveryday.info para obter informações adicionais sobre a ferramenta. Você pode iniciá-lo clicando no ícone FLOSS na barra de tarefas e executando-o contra a amostra conforme ilustrado na Figura 5.

Imagem 5: Executando o FLOSS

Infelizmente, olhando sobre as strings resultantes na Figura 6, apenas uma seqüência realmente se destaca e não está claro como ela é usada.

Imagem 6: Análise de strings

Vamos “cavar” um pouco mais o binário abrindo o CFF Explorer para analisar as importações da amostra, recursos e estrutura de cabeçalho PE. O Explorer CFF e vários outros utilitários estão disponíveis na pasta FLARE que pode ser acessada a partir do Desktop ou do menu Iniciar, conforme ilustrado na Figura 7.

Imagem 7: Utilitários

Ao analisar o cabeçalho PE, houve vários indicadores de que o binário contém um objeto de recurso com uma carga útil adicional. Por exemplo, a tabela de endereço de importação continha chamadas relevantes da API do Windows, como LoadResource, FindResource e, finalmente, WinExec. Infelizmente, como você pode ver na Figura 8, a carga útil incorporada “BIN” contém lixo, portanto, provavelmente é criptografado.

Imagem 8: PE resource

Neste ponto, poderíamos continuar a análise estática ou poderíamos “enganar” um pouco ao mudar para as técnicas básicas de análise dinâmica. Vamos tentar rapidamente reunir indicadores básicos usando outra ferramenta FLARE chamada FakeNet-NG. O FakeNet-NG é uma ferramenta dinâmica de emulação de rede que engana o malware para revelar sua funcionalidade de rede, apresentando serviços falsos como DNS, HTTP, FTP, IRC e muitos outros. Visite http://fakenet.info para obter informações adicionais sobre a ferramenta.

Além disso, vamos lançar o Procmon da Sysinternals Suite para monitorar todas as atividades de Arquivo, Registro e API do Windows também. Você pode encontrar ambas as ferramentas usadas com freqüência na barra de tarefas ilustrada na Figura 9.

Imagem 9: Análise dinâmica

Depois de executar a amostra com privilégios de Administrador, encontramos rapidamente excelentes indicadores baseados em rede e host. A Figura 10 mostra FakeNet-NG respondendo à tentativa do malware de se comunicar com evil.mandiant.com usando o protocolo HTTP. Aqui capturamos indicadores úteis, como um cabeçalho HTTP completo, URL e uma seqüência de User-Agent potencialmente única. Além disso, note que o FakeNet-NG é capaz de identificar o processo exato de comunicação que é o level1_payload.exe. Este nome do processo corresponde à cadeia exclusiva que identificamos na análise estática, mas não conseguimos entender como ela foi usada.

Imagem 10: FakeNet-NG

Comparando nossas descobertas com o resultado de Procmon na Figura 11, podemos confirmar que o malware é realmente responsável por criar o executável level1_payload.exe na pasta system32.

Imagem 11: Procmon

Como parte do processo de análise de malware, poderíamos continuar cavando mais fundo carregando a amostra em um disassembler e realizando análises futuras dentro de um depurador. No entanto, eu não gostaria de estragar essa diversão para os nossos estudantes do curso Malware Analysis Crash Course, compartilhando todas as respostas aqui. Dito isto, todas as ferramentas relevantes para realizar essa análise já estão incluídas na distribuição, como o IDA Pro e Binary Ninja disassemblers, uma boa coleção de depuradores e vários plugins e muitos outros para tornar suas tarefas de engenharia reversa o mais conveniente possível.

 

Faça do seu jeito

FLARE VM é um projeto em constante crescimento e mudança. Enquanto a equipe tenta cobrir o maior número possível de cenários de uso, é simplesmente impossível devido à natureza do projeto. Por sorte, a FLARE VM é extremamente fácil de personalizar porque foi construída em cima do projeto Chocolatey. O Chocolatey é um sistema de gerenciamento de pacotes baseado no Windows com milhares de pacotes. Você pode encontrar a lista aqui: https://chocolatey.org/packages. Além do repositório público da Chocolatey, a FLARE VM usa o próprio repositório FLARE que cresce constantemente e atualmente contém cerca de 40 pacotes.

O que tudo isso significa é que se você quiser adicionar rapidamente um pacote, digamos o Firefox, você não precisa mais navegar para o site do desenvolvedor de software. Basta abrir um console e digitar o comando conforme visto na Figura 12 para baixar e instalar automaticamente qualquer pacote:

Imagem 12: Instalando pacotes

Em alguns minutos, o ícone do Firefox vai aparecer na sua área de trabalho, sem necessidade de interação do usuário.

 

Mantenha-se atualizado

Como mencionado no início, um dos desafios mais difíceis da máquina virtual não gerenciada é estar tentando manter atualizadas todas as ferramentas. FLARE VM resolve esse problema. Você pode atualizar completamente todo o sistema simplesmente executando o comando na Figura 13.

Imagem 13: Mantendo atualizado

Se algum dos pacotes instalados tiver versões mais novas, eles serão baixados e instalados automaticamente.

NOTA: Não se esqueça de tirar outro snapshot limpo de um sistema atualizado e configurar a rede novamente para Host-Only.

 

Conclusão

Espero que você aproveite esta nova ferramenta gratuita e adote-a como outro recurso confiável para realizar tarefas de análise reversa e de análise de malware. Próxima vez que você precisa configurar um novo ambiente de análise de malware, experimente FLARE VM!

Nessas poucas páginas, nós só podíamos arranhar a superfície de tudo o que a VM FLARE é capaz; no entanto, sinta-se livre para deixar seus comentários, solicitações de ferramentas e bugs na página do Github aqui: https://github.com/fireeye/flare-vm ou http://flarevm.info/.

 

Artigo adaptado e traduzido, autor: Peter Kacherginsky

Fonte: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html

This entry was posted on Wed Jul 26 12:31 EDT 2017 and filed under MalwareFakenetopen sourceopen source toolsFLAREThreat Research, and Peter Kacherginsky.