FLARE VM アップデート

Download FLARE VM repo news

FLARE VM は、Windows プラットフォームでのリバース エンジニアリングおよびマルウェア分析ディストリビューションとしては初めてのものです。 2017 年 7 月に導入されて以来、FLARE VM は継続的に信頼されており、多くのリバース エンジニア、マルウェア アナリスト、およびセキュリティ研究者によって、マルウェアを分析するための頼りになる環境として使用されてきました。進化し続けるセキュリティ業界と同様に、FLARE VM はユーザーのニーズをより適切にサポートするために多くの大きな変更を経てきました。 FLARE VM には、新しいインストール、アップグレード、およびアンインストール プロセスが含まれるようになりました。これは、ユーザーが長い間待ち望んでいた機能です。 FLARE VM には、IDA 7.0、radae、YARA などの多くの新しいツールも含まれています。したがって、これらの更新、特に新しいインストール プロセスを共有したいと思います。

インストール

仮想化環境内で FLARE VM を使用してマルウェア分析を行い、物理デバイスとネットワークを悪意のあるアクティビティから保護および分離することを強くお勧めします。独自の仮想化環境のセットアップと構成の経験がすでにあることを前提としています。新しい仮想マシン (VM) を作成し、Windows の新規インストールを実行してください。 FLARE VM は、Windows 7 Service Pack 1 以降にインストールするように設計されています。したがって、ニーズに最適なバージョンの Windows を選択できます。これ以降、すべてのインストール手順は VM 内で実行する必要があります。

Windows を新規インストールした VM を用意したら、次のいずれかの URL を使用して、圧縮された FLARE VM リポジトリを VM にダウンロードします。

Download FLARE VM repo
図 1: FLARE VM リポジトリのダウンロード

次に、次の手順を使用して FLARE VM をインストールします。

  1. FLARE VM リポジトリを選択したディレクトリに解凍します。
  2. エスカレートされた権限で PowerShell の新しいセッションを開始します。 FLARE VM は、追加のソフトウェアのインストールとシステム設定の変更を試みます。したがって、インストールにはエスカレートされた権限が必要です。
  3. PowerShell 内で、FLARE VM リポジトリを解凍した場所にディレクトリを変更します。
  4. 次のコマンドを実行し、PowerShell からプロンプトが表示されたら「Y」と答えて、PowerShell の無制限実行ポリシーを有効にします。 Set-ExecutionPolicy unrestricted
  5. install.ps1 インストール スクリプトを実行します。現在のユーザーのパスワードを入力するよう求められます。 FLARE VM は、インストール時の再起動後に自動的にログインするために、現在のユーザーのパスワードを必要とします。必要に応じて、コマンド ラインで「-password <current_user_password>」を渡すことにより、現在のユーザーのパスワードを指定できます。
管理者として PowerShell を起動する
図 2: 管理者として PowerShell を開始する
FLARE VM をインストールする準備ができました
図 3: FLARE VM をインストールする準備ができました

残りのインストール プロセスは完全に自動化されています。インターネットの速度によっては、インストール全体が完了するまでに最大 1 時間かかる場合があります。また、多数のソフトウェア インストール要件があるため、VM は複数回再起動します。インストールが完了すると、PowerShell プロンプトが開いたままになり、終了する前に任意のキーを押すのを待ちます。インストールが完了すると、次のデスクトップ環境が表示されます。

FLARE VM のインストールが完了しました
図 4: FLARE VM のインストールが完了する

おめでとう! FLARE VM が正常にインストールされました。この時点で、VM の電源を切り、VM ネットワーク モードをホストオンリーに切り替えてから、スナップショットを作成して分析 VM のクリーンな状態を保存することをお勧めします。

改善

FLARE VM の最大の改善点は、適切な更新とアンインストールを実行できることです。古いバージョンの FLARE VM は、多くのチョコレート パッケージを一度に 1 つずつインストールするための PowerShell スクリプトとして提供されていました。そのため、FLARE VM の更新時に新しいパッケージを含めることができませんでした。以前は、ユーザーは FLARE VM を完全に再インストールする必要がありましたが、これには時間がかかりました。また、新しいパッケージを手動でインストールしたため、エラーが発生しやすくなりました。この問題を解決するために、FLARE VM 自体をチョコレート パッケージに変換しました。新しいツールが利用可能になるたびに、FLARE VM の新しいバージョンもリリースします。この新しい設計により、「choco upgrade all」を実行するだけで、FLARE VM の最新バージョンと、リリースされた新しいパッケージを取得できます。 「choco uninstall flamevm.installer.flare」を実行して、すべての FLARE VM パッケージを安全にアンインストールすることもできます。

新しい FLARE VM も更新され、デフォルトの Python インタープリターとして Python 3.7 を使用するようになりました。その結果、多くの Python スクリプトが実行に失敗する可能性があります。古いスクリプトのサポートを維持するために、Python 3.7 と並行して Python 2.7 をインストールしたままにします。 Python ランチャーを使用して、異なるバージョンを簡単に切り替えることができます。 「py -2.7 <path_to_python_script>」を実行して Python 2.7 を使用するか、「py <path_to_python_script>」を実行してデフォルトの Python 3.7 インタープリターを使用します。 Python ランチャーの詳細については、https://docs.python.org/3/using/windows.html#launcher の URL を参照してください。

さらに、新しい FLARE VM は、Fakenet-NG が FLARE フォルダーまたはタスクバー ピンのショートカットを介して起動されたときに出力を保存する場所を変更します。デスクトップに直接保存する代わりに、煩雑さを軽減するために、Fakenet-NG はすべての出力を「Desktopfakenet_logs」に保存します。

以前のバージョンと比較して、このバージョンの FLARE VM には多くの新しいツールとソフトウェア パッケージが付属しています。最も注目すべきは、このリリースで以下が追加されたことです。

  • IDA フリー 7.0
  • 64 ビット逆アセンブルをサポートするためのradae2
  • Practical Malware Analysisブックのラボ
  • 悪意のある PDF ドキュメントを分析するための pdfid、pdf-parser、および PdfStreamdumper
  • Malcode アナリスト パック
  • サイン合わせ用やら
  • Windows 上の Cygwin Linux 環境
  • PowerShell の文字起こしとスクリプト ブロックのログ記録
    • PowerShell トランスクリプトは、「DesktopPS_Transcripts」にあります。

利用可能なパッケージ

FLARE フォルダ内のショートカットとしてツールを利用できるように努めていますが、コマンド ラインからのみ利用できるツールもいくつかあります。最新のリストについては、オンライン ドキュメントを参照してください。以下は、FLARE VM で使用できるいくつかの主要なツールの不完全なリストです。

  • 逆アセンブラ:
    • IDA フリー 5.0 および IDA フリー 7.0
    • バイナリ忍者
    • Radar2とカッター
  • デバッガー:
    • OllyDbg と OllyDbg2
    • x64dbg
    • ウィンドバック
  • ファイル形式パーサー:
    • CFF エクスプローラー、PEView、PEStudio
    • PdfStreamdumper、pdf パーサー、pdfid
    • ffdec
    • offvis と officemalscanner
    • PE-クマ
  • 逆コンパイラ:
    • RetDec
    • Jd-gui とバイトコード ビューアー
    • dnSpy
    • IDR
    • VBDecompiler
    • Py2ExeDecompiler
  • 監視ツール:
    • SysInternal スイート
    • レグショット
  • ユーティリティ:
    • Hex エディター (010 エディター、HxD およびファイル インサイト)
    • FLOSS (FireEye Labs 難読化文字列ソルバー)
    • Fakenet-NG
    • ヤラ
    • マルウェア アナリスト パック

結論

FLARE チームは、FLARE VM を Windows プラットフォームでのセキュリティ研究、インシデント対応、およびマルウェア分析のためのデファクト ディストリビューションにするためのサポートと改善を続けています。皆様からの多数のバグ レポート、ツールのリクエスト、機能の推奨事項に感謝いたします。 FLARE VM が、他の多くの FLARE オープン ソース プロジェクトとともに、作業をより良く、より簡単に、より速く行うのに役立つことを願っています。

私たちは常に才能のある人々を私たちのチームに参加させようとしています。 FLARE チームは、次の場合に最適な場所です。

  • 一日中、食べて、寝て、逆アセンブルとマルウェアについて話します。
  • リバース エンジニアリングとマルウェア分析の最先端を推進したいと考えています。

採用情報ページをご覧いただくか、メールでお問い合わせください。ハッピーリバース!

参考: https ://www.mandiant.com/resources/blog/flare-vm-update

Comments

タイトルとURLをコピーしました