マルウェア解析用のラボ構築
マルウェア解析用のラボ構築手順が書かれた記事。全て無料で構築出来るので、今からマルウェア解析を始めたいという方には参考になりそうです。
以下、簡単に概要を記載します。
※免責事項として、ここに記載している手順を参考に実施して何らかの被害が発生しても責任を負いかねる旨、明記しておきます。
■ マルウェア解析用ラボの構築手順
1. 仮想化ソフトウェアのインストール
2. WindowsのVMファイルを入手する
3. VMをアップデートして、解析ツールをインストール
4. VMを隔離して、Windows Defenderを停止する
5. マルウェアを解析する
■ 手順詳細
1. 仮想化ソフトウェアのインストール
自分の好みの仮想化ソフトウェアをダウンロードし、インストールする。
【例】VirtualBox、 VMware等
Windowsのライセンスを持っていない場合は、Micros oftのサイトから無料でWindows10のVMファイルをダウンロード可能。
○Microsoft Edge page for downloading virtual machines
developer.microsoft.com
Virtual machineに「MSEdge on Win 10 (x64)」を選択
Select platformには1.で選んだ仮想化ソフトウェアを選択
※90日後に有効期限が切れるため、事前にスナップショットを取
※ログインパスワードには「Passw0rd!」が設定されている
3. VMをアップデートして、解析ツールをインストール
2.で入手したWindowsのOSアップデートを実施し、最新のパッチを当てる。
その後、好みのマルウェア解析ツールをインストールする。
【例】動的解析: Process Monitor, ProcDOT, Process Hacker, Wireshark
静的解析: PeStudio, IDA Freeware, x64dbg, Scylla
※FLARE VMから自動的に解析ツールをインストールする事も可能
※必要に応じてVMの拡張パック等もインストールすると良い。ただし、マルウェアの仮想化検知に引っかかる可能性も高まるので注意
4. VMを隔離して、Windows Defenderを停止する
共有フォルダの無効化や、ネットワークからの隔離(Host-O
また、解析の邪魔にならないようにWindows Defenderを停止する。
※ここで不備があると、思わぬ感染被害を受ける可能性がある為、注意
※クリーンな環境に戻せるように4.が終わった後でスナップショットを取得しておく
5. マルウェアを解析する
4.で作成した環境にマルウェアを移して解析を始める