マルウェア解析用のラボ構築

zeltser.com

マルウェア解析用のラボ構築手順が書かれた記事。全て無料で構築出来るので、今からマルウェア解析を始めたいという方には参考になりそうです。

以下、簡単に概要を記載します。

※免責事項として、ここに記載している手順を参考に実施して何らかの被害が発生しても責任を負いかねる旨、明記しておきます。

 

マルウェア解析用ラボの構築手順

1. 仮想化ソフトウェアのインストール
2. WindowsVMファイルを入手する
3. VMをアップデートして、解析ツールをインストール
4. VMを隔離して、Windows Defenderを停止する
5. マルウェアを解析する

 

■ 手順詳細

1. 仮想化ソフトウェアのインストール

自分の好みの仮想化ソフトウェアをダウンロードし、インストールする。
【例】VirtualBoxVMware


2. WindowsVMファイルを入手する

Windowsのライセンスを持っていない場合は、Microsoftのサイトから無料でWindows10のVMファイルをダウンロード可能。

Microsoft Edge page for downloading virtual machines

developer.microsoft.com
Virtual machineに「MSEdge on Win 10 (x64)」を選択
Select platformには1.で選んだ仮想化ソフトウェアを選択

※90日後に有効期限が切れるため、事前にスナップショットを取得しておく事
※ログインパスワードには「Passw0rd!」が設定されている

 

3. VMをアップデートして、解析ツールをインストール

2.で入手したWindowsのOSアップデートを実施し、最新のパッチを当てる。
その後、好みのマルウェア解析ツールをインストールする。
【例】動的解析: Process Monitor, ProcDOT, Process Hacker, Wireshark
   静的解析: PeStudio, IDA Freeware, x64dbg, Scylla

※FLARE VMから自動的に解析ツールをインストールする事も可能

github.com

※必要に応じてVMの拡張パック等もインストールすると良い。ただし、マルウェアの仮想化検知に引っかかる可能性も高まるので注意

 

4. VMを隔離して、Windows Defenderを停止する

共有フォルダの無効化や、ネットワークからの隔離(Host-Only)を実施する。
また、解析の邪魔にならないようにWindows Defenderを停止する。

※ここで不備があると、思わぬ感染被害を受ける可能性がある為、注意
※クリーンな環境に戻せるように4.が終わった後でスナップショットを取得しておく

 

5. マルウェアを解析する

4.で作成した環境にマルウェアを移して解析を始める

 

○参考: マルウェア解析の役に立つサイト
Reverse-Engineering Malware Cheat Sheet
https://zeltser.com/malware-analysis-cheat-sheet/

Analyzing Malicious Documents Cheat Sheet
https://zeltser.com/analyzing-malicious-documents/

Tips for Reverse-Engineering Malicious Code
https://zeltser.com/reverse-engineering-malicious-code-tips/

Mastering 4 Stages of Malware Analysis
https://zeltser.com/mastering-4-stages-of-malware-analysis/

Introduction to Malware Analysis Webcast
https://zeltser.com/malware-analysis-webcast/