Как получить и настроить бесплатную виртуальную машину Windows для анализа вредоносных программ

Если вы хотите начать экспериментировать с анализом вредоносных программ в своей лаборатории, вот как загрузить и настроить бесплатную виртуальную машину Windows:

Шаг 1. Установите программное обеспечение виртуализации

Установите программное обеспечение виртуализации, которое вам удобно настраивать и устранять неполадки. VirtualBox и Hyper-V - хорошие бесплатные варианты. Если вы хотите настроить автономный сервер для своей лаборатории, вам, вероятно, понравится VMware vSphere Hypervisor (ранее называвшийся ESXi), который также является бесплатным.

Если вы используете VMware Workstation, вам понадобится коммерческая версия: Workstation Pro для Windows и Linux или Fusion Pro для macOS. Бесплатные версии не поддерживают снимки. При исследовании вредоносных программ вам понадобятся снимки, чтобы можно было вернуть состояние виртуальной машины, чтобы начать новое расследование или вернуться к шагу анализа. VMware предоставляет бесплатную 30-дневную пробную версию.

Шаг 2. Получите виртуальную машину Windows

Если у вас нет лицензионной версии Windows для вашей виртуальной машины, вы можете загрузить бесплатную виртуальную машину Windows 10 от Microsoft. Перейдите на страницу Microsoft Edge для загрузки виртуальных машин. Выберите «MSEdge на Win 10 (x64)» и выберите платформу виртуализации, соответствующую той, которая у вас есть:

Если вы используете macOS, возможно, вы не сможете извлечь содержимое zip-файла, если не загрузите средство для извлечения файлов, такое как The Unarchiver.

После загрузки и извлечения архива выполните действия, соответствующие вашему программному обеспечению виртуализации, чтобы запустить виртуальную машину. Например, для VMware вы должны распаковать файлы в специальную папку, а затем запустить файл с именем «MSEdge - Win10.vmx».

Срок действия ОС Windows на этой виртуальной машине истекает через 90 дней. Microsoft рекомендует «настроить моментальный снимок при первой установке виртуальной машины, к которому вы можете вернуться позже».

Microsoft назначила этой виртуальной машине пароль «Passw0rd!». Он вам не понадобится для запуска виртуальной машины, которая автоматически выполнит вход, но вам может потребоваться предоставить его при настройке ОС или установке программного обеспечения.

Шаг 3. Обновите виртуальную машину и установите средства анализа вредоносных программ.

При первой загрузке виртуальной машины она сможет подключиться к Интернету, если у вашего физического хоста есть доступ в Интернет. Вы можете использовать это соединение для обновления ОС до последнего уровня исправлений и установки инструментов анализа вредоносных программ.

Затем установите инструменты анализа вредоносных программ. Вот некоторые из моих любимых бесплатных инструментов Windows для исследования вредоносного ПО в лаборатории:

  • Поведенческий анализ: Process Monitor, ProcDOT, Process Hacker, Wireshark
  • Анализ кода: PeStudio, IDA Freeware, x64dbg, Scylla

Вы также можете автоматически установить множество бесплатных инструментов анализа вредоносных программ, используя дистрибутив FLARE VM:

При желании установите в виртуальную машину такие утилиты, как VirtualBox Guest Additions и VMware Tools, которые поставляются с вашим программным обеспечением для виртуализации. Они сделают удобный обмен содержимым буфера обмена и файлами между вашим физическим хостом и виртуальной машиной. Однако их присутствие немного увеличивает шансы того, что вредоносное ПО обнаружит виртуализированную среду или сможет сбежать.

Если вы не будете использовать методы совместного использования файлов, поддерживаемые вашим программным обеспечением для виртуализации, решите, как вы будете передавать файлы на виртуальную машину и из нее. Доступ к USB-ключу из виртуальной машины - разумный вариант. Другой - SFTP: вы можете включить SSH-сервер, встроенный в Windows, а затем получить к нему доступ со своего физического хоста или с другой виртуальной машины с помощью клиента SFTP, такого как WinSCP.

Шаг 4. Изолируйте виртуальную машину Analysis и отключите антивирус Защитника Windows

Выключите вашу виртуальную машину.

Рассмотрите возможность отключения общих папок для виртуальной машины, чтобы вредоносным программам было труднее скрыться. Например, чтобы сделать это в VMware Workstation Pro, выберите ВМ>Настройки…>Параметры>Общие папки и нажмите Отключено.

Измените сетевые настройки виртуальной машины, чтобы у нее не было доступа к сети. Например, в VMware Workstation Pro вы можете перевести его в режим Host-Only, перейдя в VM>Settings…>Hardware>Network Adapter и выбрав Host-Only:

Сеть только для хоста позволяет виртуальной машине связываться с виртуальным адаптером вашего физического хоста. Для лучшей изоляции рассмотрите возможность определения выделенной виртуальной сети только для вашей виртуальной машины, а затем настройте виртуальную машину для использования этой настраиваемой сети. Если вы сделаете это, вы не сможете использовать SFTP для передачи файлов между виртуальной машиной и вашим физическим хостом.

Запустите виртуальную машину, теперь, когда она больше не подключена к физической сети.

Отключите антивирус Защитника Windows внутри виртуальной машины, чтобы антивирус не мешал вашим усилиям по анализу вредоносных программ. Используйте групповую политику, чтобы избежать периодического повторного включения антивирусной защиты Windows. При желании можно использовать групповую политику, чтобы отключить обновления Windows.

После того, как виртуальная машина настроена так, как вам нравится, сделайте снимок.

Будьте осторожны, чтобы не заразить неправильную систему при анализе вредоносных программ и свести к минимуму вероятность того, что ваш образец ускользнет. Обязательно подумайте о том, чтобы выделить физического хозяина для такого исследования; не используйте эту систему для других задач и не подключайте ее к производственной сети.

Шаг 5. Проанализируйте вредоносное ПО

Вы готовы проанализировать вредоносное ПО! Я создал множество бесплатных ресурсов для людей, которые хотят начать изучать анализ вредоносных программ, в дополнение к курсу обратной инженерии вредоносного ПО, который я преподаю в Институте SANS:

Вам это понравилось?

Следуйте за мной, чтобы узнать больше о хорошем.

Подпишитесь на мой информационный бюллетень, если вы хотите получать от меня уведомление всякий раз, когда я публикую статью или приступаю к проекту. Такое случается нечасто, поэтому не буду перегружать вас обновлениями.