FLARE VM es la primera distribución de ingeniería inversa y análisis de malware de su tipo en la plataforma Windows. Desde su introducción en julio de 2017, FLARE VM ha sido continuamente confiable y utilizado para ingeniería inversa de software, análisis de malware e investigaciones de seguridad, como el entorno de referencia para analizar malware. Al igual que la industria de la seguridad se encuentra en constante evolución, FLARE VM ha pasado por muchos cambios importantes para satisfacer las necesidades de nuestros usuarios de mejor manera. FLARE VM ahora tiene un nuevo proceso de instalación, actualización y desinstalación, que es una característica solicitada y largamente esperada por nuestros usuarios. FLARE VM también incluye muchas herramientas nuevas como IDA 7.0, radare y YARA. Por lo tanto, nos gustaría compartir estas actualizaciones, en especial el nuevo proceso de instalación.

Instalación

Le recomendamos encarecidamente que utilice FLARE VM dentro de un entorno virtualizado para el análisis de malware para proteger y aislar su dispositivo físico y su red de actividades maliciosas. Asumiremos que ya tiene experiencia en la instalación y configuración de su propio entorno virtualizado. Cree una nueva máquina virtual (VM) y realice una nueva instalación de Windows. FLARE VM está diseñado para instalarse en Windows 7 Service Pack 1 o posterior; por lo tanto, puede seleccionar la versión de Windows que mejor se adapte a sus necesidades. A partir de este momento, todos los pasos de instalación deben realizarse dentro de la máquina virtual.

Una vez que tenga una máquina virtual con una instalación nueva de Windows, use una de las siguientes direcciones URL para descargar el repositorio de máquina virtual FLARE comprimido en la máquina virtual:

• https://github.com/fireeye/flare-vm
• https://flarevm.info

A continuación, siga estos pasos para instalar FLARE VM:

1. Descomprima el repositorio de FLARE VM en un directorio de su elección.
2. Inicie una nueva sesión de PowerShell con privilegios escalados. FLARE VM intenta instalar software adicional y modificar la configuración del sistema; por lo tanto, se requieren privilegios escalados para la instalación.
3. En PowerShell, cambie el directorio a la ubicación donde ha descomprimido el repositorio de máquina virtual FLARE.
4. Habilite la directiva de ejecución sin restricciones para PowerShell ejecutando el siguiente comando y respondiendo "Y" cuando PowerShell se lo solicite: SetExecutionPolicy unrestricted.
5. Ejecute el script de instalación install.ps1. Se le pedirá que introduzca la contraseña del usuario actual. FLARE VM necesita la contraseña del usuario actual para iniciar sesión automáticamente después de un reinicio al instalar. Opcionalmente, puede especificar la contraseña del usuario actual pasando el modificador "-password <current_user_password>" en la línea de comandos.

El resto del proceso de instalación está totalmente automatizado. Dependiendo de su velocidad de Internet, toda la instalación puede tardar hasta una hora en finalizar. La máquina virtual también se reinicia varias veces debido a los numerosos requisitos de las instalaciones de software. Una vez completada la instalación, el símbolo del sistema de PowerShell permanece abierto a la espera de que presione cualquier tecla antes de salir. Después de completar la instalación, se le presentará el siguiente entorno de escritorio:

¡Felicidades! Ha instalado correctamente FLARE VM. En este punto, se recomienda apagar la máquina virtual, cambiar el modo de red de la máquina virtual a sólo host y, a continuación, tomar una instantánea para guardar un estado limpio de la máquina virtual de análisis.

Mejoras

La principal mejora para FLARE VM es la capacidad de realizar una actualización y desinstalación adecuadas. La versión anterior de FLARE VM venía como un script de PowerShell para instalar muchos paquetes de chocolatey, uno a la vez; por lo tanto, no era posible incluir nuevos paquetes al actualizar FLARE VM. En el pasado, nuestros usuarios tenían que reinstalar FLARE VM por completo, lo que consume mucho tiempo, o instalar manualmente el nuevo paquete, lo cual podría ser propenso a errores. Para resolver este problema, hemos convertido FLARE VM en un paquete de chocolatey. Siempre que haya una nueva herramienta disponible, también lanzaremos una nueva versión de FLARE VM. Con este nuevo diseño podemos simplemente ejecutar "choco upgrade all" para obtener la versión más reciente de FLARE VM junto con cualquier paquete nuevo que hayamos lanzado. También puede desinstalar de forma segura todos los paquetes de FLARE VM ejecutando "choco uninstall flarevm.installer.flare".

Nuestra nueva máquina virtual FLARE también se actualiza para usar Python 3.7 como intérprete predeterminado de Python. Como resultado, muchos scripts de Python pueden no ejecutarse. Para mantener el soporte para scripts más antiguos, mantenemos Python 2.7 instalado en paralelo con Python 3.7. Podemos cambiar fácilmente entre diferentes versiones utilizando las opciones de Python. Ejecute "py -2.7 <path_to_python_script>" para usar Python 2.7 o "py <path_to_python_script>" para usar el intérprete predeterminado de Python 3.7. Para obtener más detalles sobre las opciones de ejecución de Python, consulte la siguiente URL: https://docs.python.org/3/using/windows.html#launcher.

Además, la nueva máquina virtual FLARE cambia la ubicación donde Fakenet-NG guarda su salida cuando se inicia a través del acceso directo en la carpeta FLARE o el pin de la barra de tareas. En lugar de guardar directamente en el escritorio, para reducir el desorden, Fakenet-NG almacenará toda su salida en "Desktop\fakenet_logs".

En comparación con las versiones anteriores, esta versión de FLARE VM viene con muchas herramientas y paquetes de software nuevos. En particular, esta versión agrega lo siguiente:

• IDA free 7.0
• radare2 para admitir el desensamblado de 64 bits
• Los laboratorios del libro Practical Malware Analysis
• pdfid, pdf-parser y PdfStreamdumper para analizar documentos PDF maliciosos
• El paquete Malcode Analyst
• Yara para la coincidencia de firmas
• El entorno Cygwin Linux en Windows
• La auditoría de transcripción y de bloques de scripts de PowerShell
  • Las transcripciones de PowerShell se pueden encontrar en "Desktop\PS_Transcripts"

Paquetes disponibles

Si bien intentamos que las herramientas estén disponibles como accesos directos dentro de la carpeta FLARE, hay varias disponibles sólo desde la línea de comandos. Consulte la documentación en línea para obtener la lista más actualizada. Aquí hay una lista incompleta de algunas de las principales herramientas disponibles en FLARE VM:

• Desensambladores:
  • IDA Free 5.0 e IDA Free 7.0
  • Binary Ninja
  • Radare2 y Cutter
• Depuradores:
  • OllyDbg y OllyDbg2
  • x64dbg
  • Windbg
• Analizador de formato de archivo:
  • CFF Explorer, PEView, PEStudio
  • PdfStreamdumper, pdf-parser, pdfid
  • ffdec
  • offvis y officemalscanner
  • PE-bear
• Descompiladores:
  • RetDec
  • Jd-gui y bytecode-viewer
  • dnSpy
  • IDR
  • VBDecompiler
  • Py2ExeDecompiler
• Herramientas de monitoreo:
  • Suite SysInternal
  • RegShot
• Utilidades:
  • Editores hexadecimales (editor 010, HxD y File Insight)
  • FLOSS (FireEye Labs Obfuscated String Solver)
  • Fakenet-NG
  • Yara
  • Malware Analyst Pack

Conclusión

El equipo de FLARE continúa apoyando y mejorando FLARE VM para que sea la distribución de facto para la investigación de seguridad, la respuesta a incidentes y el análisis de malware en la plataforma Windows. Apreciamos enormemente los numerosos informes de errores, solicitudes de herramientas y recomendaciones de funciones de todos. Esperamos que FLARE VM, junto con muchos otros proyectos de código abierto FLARE, puedan ayudarlo a hacer su trabajo mejor, más fácil y rápido.

Siempre estamos buscando personas talentosas para unirse a nuestro equipo. El equipo de FLARE puede ser un buen lugar para usted si:

• Comes, duermes y hablas desensamblador y malware todo el día.
• Le gustaría impulsar el estado del arte para la ingeniería inversa y el análisis de malware.

Por favor, echa un vistazo a nuestra página de carreras, o envíanos un correo electrónico. ¡Feliz análisis inverso!