Arma tu propio laboratorio para analisis de malware

En este artículo, aprenderás a configurar un laboratorio para el análisis de malware utilizando REMnux y FLARE VM. Este entorno te permitirá realizar análisis estáticos y dinámicos de muestras maliciosas en un entorno controlado y seguro.

---

Prerrequisitos

Antes de comenzar, asegúrate de contar con lo siguiente:

• Hardware: Al menos 12 GB de RAM disponibles para las máquinas virtuales.
• Software:
  • VirtualBox
  • REMnux
  • FLARE VM
• Sistema Operativo Windows 10 para la máquina de FLARE VM.

---

Paso 1: Configurar la Red en VirtualBox

1. Abre VirtualBox y ve a Herramientas > Red.
2. En la pestaña de "Redes solo-anfitrion", haz clic en el icono de añadir para crear una nueva red solo-anfitrion.
3. Selecciona la red creada y haz clic en el icono de ajustes:
4. Activa Habilitar el servidor DHCP.

5. Configura el rango de direcciones IP según sea necesario.

6. Asigna la red a los adaptadores de las máquinas virtuales:

7. Ve a la configuración de cada máquina virtual.
8. En la sección "Red", selecciona Adaptador 1 y configúralo como solo-anfitrion.

---

Paso 2: Configurar REMnux

1. Descarga el archivo ISO de REMnux desde su sitio oficial.
2. Crea una nueva máquina virtual en VirtualBox:
3. Tipo: Linux
4. Versión: Ubuntu (64-bit)
5. Asigna al menos 2 GB de RAM y 2 CPUs.
6. Monta la imagen ISO de REMnux en la máquina virtual.
7. Sigue las instrucciones del instalador para completar la instalación.
8. Instala los Guest Additions:
   • Ve al menú de VirtualBox Dispositivos > Insertar imagen de CD de las Guest Additions.
   • Crearemos el punto de montaje para instalar los Guest Additions

     mount <ruta al dev donde esta el guest addiotion> /media/cdrom
     

     
   • Nos dirigiremos a /home/remnux/media/cdrom y ejecutaremos el autorun.sh

     La carpeta /media/cdrom las cree yo usando el comando mkdir

9. Reinicia la máquina virtual.

---

Paso 3: Configurar FLARE VM

Antes de comenzar con esta instalacion te recomiendo tomar variios snapshots a lo largo de esta instalacion. De todas maneras voy indicarte los que fui tomando yo para que los tengas de referencia.

¿Que es un snapshot en virtualizadores?

Un snapshot (instantánea) en virtualización es una captura completa del estado de una máquina virtual en un momento específico.

1. Crea una nueva máquina virtual en VirtualBox:
   • Tipo: Microsoft Windows
   • Versión: Windows 10 (64-bit)
   • Asigna al menos 4 GB de RAM y 2 CPUs.

2. Instala Windows 10 en la máquina virtual.

   • Tomar snapshot

3. Instalar guest addons:

   • Mismo proceso anterior, insertamos la imagen iso de los guest addons
   • Procedemos a abrir el cd e instalarlo

   • Tomar snapshot

     

4. Desactivar Windows Defender y actualizaciones automaticas:

   • Este paso es sumamente importante debido a que si no lo hacemos no podremos instalar la maquina FLARE VM.

5. Descarga e instala FLARE VM siguiendo las instrucciones del repositorio oficial:

   • Nos dirigiremos al repo de Flare VM y descargaremos este repo en zip
   • Nos dirigiremos a la carpeta en donde esta el repo descargado.
   • Correremos el siguiente comando

     Unblock-File .\install.ps1
     

     
   • Activaremos la ejecucion de scripts

     Set-ExecutionPolicy Unrestricted -Force
     

   • Finalmente correremos el instalador

     .\install.ps1
     

     

     Esta instalacion tarda MUCHO asique tener paciencia

   

6. Tomar snapshot

7. Reinicia la máquina virtual una vez completada la instalación.

---

Paso 4: Configuración de remnux inetsim

1. Iremos a nuestra maquina remnux y configuraremos inetsim:
   • En REMnux, ejecuta:

     nano /etc/inetsim/inetsim.conf
     

     
   • Descomentaremos los siguientes servicios:
   • Colocaremos la direccion ip de nuestro remnux en los siguientes apartados:
   • En FLARE VM, tendremos que cambiar el servidor dns que usamos, y colocar la direccion ip de nuestro REMnux
     • Iremos a Panel de Control > Redes e Internet > Conexiones de Red > Propiedades Ethernet > Protocolo ipv4
     • Colocaremos como dns preferido la direccion ip de nuestro REMnux
   • Volveremos a la maquina REMnux y activaremos el servicio inetsim

     sudo inetsim
     

     
   • Iremos a la maquinda FLARE VM, y abriremos cualquier navegador web que tengamos, si nos aparece lo siguiente, realizamos esta configuracion de manera exitosa
   • Tomar snapshot de FLARE VM.

Inetsim

INetSim es una herramienta incluida en REMnux diseñada para simular servicios de red comunes, como HTTP, DNS, FTP, y otros, en un entorno controlado. Su propósito principal es analizar el comportamiento de malware que intenta comunicarse con servicios externos, permitiendo observar sus acciones sin riesgos para redes reales.

---

Paso 5: Buenas Prácticas

• Asegúrate de que las máquinas virtuales no tengan acceso a Internet para evitar cualquier riesgo de propagación de malware.
• Toma instantáneas (snapshots) de las máquinas virtuales después de la instalación y configuración inicial.

---

¡Felicidades! Ahora tienes un laboratorio funcional para analizar malware de forma segura.