Hazır Windows Malware Analiz Ortamı: FLARE VM
Geçen hafta anlatmış olduğumuz Malware Katanası: Tsurugi Linux’tan sonra “Linux’ta analiz ne kadar verimli olur?” demiş olabilirsiniz. Çünkü dünya genelinde hazırlanan zararlı yazılımların neredeyse tamamına yakını Windows tabanlı sistemlerde çalışması için tasarlanmaktadır. Bunda kullanılan cihaz sayısının payı büyüktür. Durum böyle olunca zararlı yazılımları onların çalışma ortamlarında test etmek çok daha mantıklı analiz ortamı sağlamaktadır. Windows’ta her bir Malware analiz programını teker teker indirip kurmaktansa ve onların güncellemelerini takip etmektense hemen bir sanal makine ayağa kaldırıp dakikalar içerisinde birçok uygulama ve tool’u içerisine kurabilirsiniz. Tüm bu kolaylığı sağlayan aracımızın adı FLARE VM.
FLARE VM Nedir?
FireEye şirketinin Flare ekibi çalışanları tarafından Temmuz 2017'de Windows platformlarında tersine mühendislik ve zararlı yazılım analizi yapılmasını kolaylaştıracak bir dağıtım olarak ortaya çıkarıldı. Ekip, tersine mühendislerden, dijital adli tıp uzmanlarından ve zararlı yazılım analistlerinden almış olduğu araç ve bilgileri tek bir dağıtım içerisine yerleştirerek kolayca kurmayı ve tüm araçlara gelen güncellemeleri tek elden dağıtmayı düşünerek bu platformu geliştirdi. Aslında ekibin temel amacı, sürekli olarak bir sanal makine kurup bunu yeni güncelleştirmelerle birlikte tekrar kurmak ve yeniden analiz ortamı hazırlamaktan kurtulmaktı.
FLARE VM, tersine mühendisler, zararlı yazılım analistleri, dijital adli tıp uzmanları ve sızma testi uzmanları için tasarlanmış, ücretsiz ve açık kaynaklı, Windows tabanlı bir güvenlik dağıtımıdır. Statik ve dinamik analizlerde, network analizlerinde, exploitation ve güvenlik açığı incelemelerinde kullanılacak birçok uygulama içerisinde mevcuttur.
İÇERİK:
Android:
dex2jar, apktool…
Debuggers
flare-qdb, scdbg, OllyDbg, OllyDump, OllyDumpEx, OllyDbg2, OllyDumpEx, x64dbg, WinDbg, OllyDumpex, pykd
Decompilers
RetDec
Delphi
Interactive Delphi Reconstructor (IDR)
Disassemblers
IDA Free (5.0 & 7.0), Binary Ninja Demo, radare2, Cutter
.Net
de4dot, Dot Net String Decoder (DNSD), dnSpy, DotPeek, ILSpy, RunDotNetDll
Flash
FFDec
Forensic
Volatility
Hex Editors
FileInsight, HxD, 010 Editor
Java
JD-GUI, Bytecode-Viewer
Networking
FakeNet-NG, ncat, nmap, Wireshark
Office
Offvis, OfficeMalScanner
PDFiD, PDFParser, PDFStreamDumper
PE
PEiD, ExplorerSuite (CFF Explorer), PEview, DIE, PeStudio, PEBear, ResourceHacker, LordPE
Pentest
MetaSploit, Windows binaries from Kali Linux
Text Editors
SublimeText3, Notepad++, Vim
Visual Basic
VBDecompiler
Web
BurpSuite Free Edition
Utilities
FLOSS, HashCalc, HashMyFiles, Checksum, 7zip, Far Manager, Putty, Wget, RawCap, UPX, RegShot, Process Hacker, Sysinternals Suite, API Monitor, SpyStudio, Shellcode Launcher, Cygwin, Unxutils, Malcode Analyst Pack (MAP), XORSearch, XORStrings, Yara, CyberChef, KernelModeDriverLoader
Python, Modüller, Tool’lar
Py2ExeDecompiler, Python 2.7, hexdump, pefile, winappdbg, pycryptodome, vivisect, capstone-windows, unicorn, oletools, unpy2exe, uncompyle6, Python 3, unpy2exe, uncompyle6
Diğerleri
VC Redistributable Modules (2005, 2008, 2010, 2012, 2013, 2015, 2017), .Net versions 4.6.2 and 4.7.1, Practical Malware Analysis Labs, Google Chrome, Cmder Mini
Kurulum:
Kurulum için ilk önce kendimize yeni bir MS Windows sanal makine oluşturuyoruz ve içerisine Flare VM’in GitHub sayfasındaki powershell scripti indiriyoruz.
Not: Sanal makinenizin RAM ve disk boyutu tamamiyle size kalmış ancak içerisine yüklenecek araçların boyutlarını(20 GB) düşünerek yer ayırmanız önerilir.
Sanal makinenizi hazır bir şekilde buradan indirebilirsiniz.
https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
Analiz makinesinde PowerShell’i Yönetici olarak açıyoruz ve aşağıdaki komutu girerek komut dosyası çalıştırmayı etkinleştiriyoruz:Set-ExecutionPolicy Unrestricted
Bu işlemle yetkilerimizi verdikten sonra Powershell üzerinde, bilgisayarımıza indirip zip dosyasından çıkardığımız flare-vm-master klasörüne giriyoruz ve install.ps1 dosyamızı çalıştırıyoruz..\install.ps1
Sanal makinemiz, bu aşamadan sonra birkaç kere kapanıp açılarak kurulumun bu aşamasını bitirmektedir. Bilgisayarımız yeniden başladıktan sonra masaüstünde bulunan Boxstarter Shell adlı uygulamayı çalıştırıyoruz.
NOT: Yeni scriptte sorunsuz kurulum gerçekleştirildiyse bu aşamayı geçebilirsiniz.(2020)
Uygulamayı açtığımızda karşımıza bir komut satırı gelmekte. Komut satırına aşağıdaki kodu yazarak esas sistemin kurulumunu başlatıyoruz.Install-BoxstarterPackage -PackageName https://raw.githubusercontent.com/fireeye/flare-vm/master/install.ps1
Bu işlemi de tamamladığımıza göre internet hızımıza bağlı olarak yaklaşık 30–40 dakikada tüm uygulamalar ve tool’lar indirilmiş bir şekilde sistem açılacaktır. Bu süre içerisinde sistem birçok kez kapanıp açılarak optimize hale gelir.
Sonunda uzun uğraşlar vermeden onlarca aracı bir arada barındıran bir sisteme sahip oluyoruz. Kurulumu bitirdikten sonra Powershell’i yönetici olarak tekrar çalıştırıp execution policy ayarlarımızı eski haline getiriyoruz.
Set-Executionpolicy Restricted
Malware analizi çok kapsamlı ve geniş bir konu olduğundan platformun nasıl çalıştığını tamamıyle anlatmamız mümkün değil ancak sistemle ilgili bilgilere kaynaklardan ulaşabilirsiniz.