hazwanjaafar/Malware-Analysis-Lab-Set-Up

🐞 一步一步搭建恶意软件分析实验室

本分步指南详细介绍如何搭建恶意软件分析实验室。涵盖在受控和隔离环境中分析恶意软件所需的各种工具和虚拟环境的安装与配置。

💡 第一部分 💡 本分步指南详细介绍如何搭建恶意软件分析实验室。涵盖在受控和隔离环境中分析恶意软件所需的各种工具和虚拟环境的安装与配置。 💥 主要组件包括： 1. **虚拟机监控器安装**：提供安装 VirtualBox 的说明，VirtualBox 是用于创建和管理虚拟机（VM）的虚拟机监控器。 2. **Windows 10 操作系统安装**：下载、安装和在虚拟机上配置 Windows 10 的步骤，Windows 10 作为恶意软件分析的基础环境。 3. **REMnux 安装**：设置 REMnux 的指南，REMnux 是专门为恶意软件逆向工程和分析而设计的 Linux 发行版。 4. **FLARE VM 安装**：安装 FLARE VM 的说明，FLARE VM 是专为恶意软件分析设计的基于 Windows 的安全发行版。 5. **特殊网络配置**：创建安全网络环境的详细步骤，使虚拟机之间可以相互通信，同时与宿主机隔离，确保执行的恶意软件不会传播到其他系统。 6. **INetSim 设置**：设置 INetSim 的说明，INetSim 是一个互联网模拟器，可提供虚假服务来分析恶意软件的网络行为。 ## 📋 目录 - [前置条件](#prerequisites) - [第一部分：虚拟机监控器安装（VirtualBox）](#part-1-hypervisor-installation-virtualbox) - [第二部分：Windows 10 操作系统安装](#part-2-windows-10-os-installation) - [第三部分：REMnux 安装](#part-3-remnux-installation) - [第四部分：FLARE VM 安装](#part-4-flare-vm-installation) - [第五部分：特殊网络配置](#part-5-special-network-configuration) - [第六部分：INetSim 设置](#part-6-inetsim-setup) ## 前置条件 在开始之前，请确保您的宿主机满足以下要求： - **操作系统**：Windows、macOS 或 Linux - **内存**：至少 16 GB（建议 32 GB） - **存储空间**：至少 100 GB 可用磁盘空间 - **CPU**：在 BIOS/UEFI 中启用 Intel VT-x 或 AMD-V 虚拟化支持 - **互联网**：需要下载工具和 ISO 文件 ## 第一部分：虚拟机监控器安装（VirtualBox） VirtualBox 是一个免费的开源虚拟机监控器，用于创建和管理虚拟机。 ### 步骤 1. **下载 VirtualBox** - 访问 [VirtualBox 官方网站](https://www.virtualbox.org/wiki/Downloads) - 下载适合您宿主操作系统的安装程序 2. **安装 VirtualBox** - 运行下载的安装程序 - 按照安装向导进行操作（接受默认选项） - 安装 VirtualBox 扩展包以获取额外功能（USB 2.0/3.0、RDP 等） - 从同一页面下载 *VirtualBox Extension Pack* - 打开 VirtualBox → 文件 → 首选项 → 扩展 → 添加扩展包 3. **验证安装** - 启动 VirtualBox - 确认主窗口正常打开，无错误 ## 第二部分：Windows 10 操作系统安装 Windows 10 虚拟机是执行和分析恶意软件的主要分析环境。 ### 步骤 1. **下载 Windows 10 ISO** - 访问 [微软官方页面](https://www.microsoft.com/en-us/software-download/windows10) 并使用媒体创建工具下载 ISO，或直接下载 ISO 文件 2. **在 VirtualBox 中创建新虚拟机** - 打开 VirtualBox → 点击 **新建** - 名称：`Windows10-Analysis` - 类型：`Microsoft Windows` - 版本：`Windows 10 (64-bit)` - 内存：分配至少 **4096 MB**（4 GB） - 硬盘：创建虚拟硬盘（至少 **60 GB**，动态分配） 3. **配置虚拟机设置** - 选择虚拟机 → 点击 **设置** - 在 **存储** 下：将 Windows 10 ISO 连接到光盘驱动器 - 在 **系统 → 处理器** 下：分配至少 2 个 CPU - 在 **显示** 下：将显存设置为 128 MB 4. **安装 Windows 10** - 启动虚拟机 - 按照 Windows 安装向导进行操作 - 选择 *自定义安装* 并安装到虚拟磁盘 - 完成初始设置（试用版可跳过产品密钥） 5. **安装 VirtualBox 客户机增强功能** - Windows 启动后，在 VirtualBox 菜单中点击 **设备 → 插入客户机增强功能 CD 镜像** - 在虚拟机内运行安装程序，以获得更好的性能和共享剪贴板功能 6. **创建快照** - 在安装任何工具之前，创建虚拟机快照：**虚拟机 → 创建快照** - 命名为 `Clean Windows 10 Install` - 这使您可以在每次恶意软件分析后恢复到干净状态 ## 第三部分：REMnux 安装 REMnux 是专为恶意软件逆向工程和分析而定制的 Linux 发行版。 ### 步骤 1. **下载 REMnux 虚拟设备** - 访问 [REMnux 官方网站](https://remnux.org/) - 下载 OVA（开放虚拟设备）文件 2. **导入到 VirtualBox** - 打开 VirtualBox → 文件 → **导入设备** - 浏览到下载的 `.ova` 文件并点击 **下一步** - 检查设置并点击 **导入** 3. **配置虚拟机设置** - 选择 REMnux 虚拟机 → 点击 **设置** - 在 **系统 → 主板** 下：将内存设置为至少 **2048 MB** - 在 **网络** 下：将适配器 1 设置为 **仅主机适配器**（网络配置见第五部分） 4. **启动 REMnux** - 启动虚拟机 - 默认凭据：`remnux` / `malware` - 更新 REMnux 工具： remnux upgrade 5. **创建快照** - 创建名为 `Clean REMnux Install` 的快照 ## 第四部分：FLARE VM 安装 FLARE VM 是一个基于 Windows 的安全发行版，预装了全面的恶意软件分析工具。 ### 步骤 1. **准备 Windows 10 虚拟机** - 使用第二部分创建的 Windows 10 虚拟机，或创建一个新的 - 在继续之前确保 Windows 已完全更新 2. **禁用 Windows Defender 和防病毒软件** - 进入 **设置 → 更新和安全 → Windows 安全 → 病毒和威胁防护** - 关闭 **实时保护** - 同时禁用 **篡改保护** 3. **下载并运行 FLARE VM 安装程序** - 在 Windows 10 虚拟机内以管理员身份打开 PowerShell - 运行以下命令： (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1', "$env:temp\install.ps1") Unblock-File -Path "$env:temp\install.ps1" Set-ExecutionPolicy Unrestricted -Force & "$env:temp\install.ps1" - 按照屏幕提示进行操作 4. **等待安装完成** - 安装过程会下载并安装众多工具，可能需要 **1-2 小时** - 虚拟机在此过程中会重启多次 5. **验证安装** - 安装后，验证 x64dbg、Ghidra、pestudio 等工具是否可从桌面或开始菜单访问 6. **创建快照** - 创建名为 `Clean FLARE VM Install` 的快照 ## 第五部分：特殊网络配置 此配置创建一个专用网络，允许虚拟机之间相互通信，同时与宿主机和互联网隔离。 ### 步骤 1. **在 VirtualBox 中创建仅主机网络** - 打开 VirtualBox → 文件 → **主机网络管理器**（或工具 → 网络） - 点击 **创建** 添加新的仅主机网络（例如 `vboxnet0`） - 配置： - **IPv4 地址**：`192.168.56.1` - **子网掩码**：`255.255.255.0` - 禁用 DHCP 服务器（手动分配静态 IP） 2. **为每个虚拟机分配仅主机网络** - 对于每个虚拟机（Windows 10 / FLARE VM 和 REMnux）： - 进入 **设置 → 网络** - 将适配器 1 设置为 **仅主机适配器** 并选择 `vboxnet0` - 禁用或移除任何 NAT 适配器以防止访问互联网 3. **分配静态 IP 地址** - **REMnux 虚拟机**：设置静态 IP `192.168.56.101` sudo nano /etc/network/interfaces # 添加： # 自动 eth0 # 接口 eth0 inet static # 地址 192.168.56.101 # 子网掩码 255..255.0 # 网关 192.168.56.1 sudo systemctl restart networking - **Windows 10 / FLARE VM**：设置静态 IP `192.168.56.102` - 进入 **网络设置 → 更改适配器选项** - 右键点击适配器 → **属性 → IPv4** → 手动设置 4. **验证虚拟机之间的连接** - 从 Windows 虚拟机 ping REMnux： ping 192.168.56.101 - 从 REMnux ping Windows 虚拟机： ping 192.168.56.102 ## 第六部分：INetSim 设置 INetSim（互联网模拟器）模拟常见的互联网服务（HTTP、DNS、SMTP 等），使恶意软件表现得好像可以访问互联网，但实际上并未连接到互联网。 ### 步骤 1. **在 REMnux 上安装 INetSim** - INetSim 已在 REMnux 上预装。使用以下命令验证： inetsim --version - 如果未安装，请手动添加： sudo apt-get update sudo apt-get install inetsim 2. **配置 INetSim** - 打开配置文件： sudo nano /etc/inetsim/inetsim.conf - 将监听地址设置为 REMnux IP： service_bind_address 192.168.56.101 dns_default_ip 192.168.56.101 - 保存并关闭文件 3. **启动 INetSim** sudo inetsim - INetSim 将启动并列出所有模拟的服务（DNS、HTTP、HTTPS、SMTP 等） 4. **在 Windows / FLARE VM 上配置 DNS** - 将 DNS 服务器指向 REMnux IP（`192.168.56.101`），以便捕获恶意软件的 DNS 查询： - 进入 **网络设置 → IPv4 → DNS 服务器**：`192.168.56.101` 5. **验证 INetSim 是否正常工作** - 从 Windows 虚拟机打开浏览器并访问任何 URL - INetSim 应提供虚假响应并在 REMnux 上记录请求 6. **监控 INetSim 日志** - 查看实时日志： sudo tail -f /var/log/inetsim/main.log - 日志包含恶意软件的所有连接，包括 DNS 查询、HTTP 请求等 ## 🔒 安全提示 - **切勿**将分析虚拟机连接到您的实际网络或互联网。 - 每次分析后始终**恢复到干净快照**。 - **谨慎使用共享文件夹**——恶意软件可能通过共享文件夹访问宿主机文件。 - 考虑使用**专用物理机器**进行敏感的恶意软件分析。 - 保持 **VirtualBox 客户机增强功能**更新，以最大程度降低虚拟机逃逸风险。

标签：Conpot, DAST, FLARE VM, INetSim, meg, REMnux, VirtualBox, Windows安全, 云安全监控, 云资产清单, 信息安全, 合规性检查, 恶意软件分析, 恶意软件分析实验室, 数据展示, 沙箱, 生成式AI安全, 红队, 网络安全, 虚拟化, 虚拟机, 逆向工程, 隐私保护, 隔离网络, 静态分析