flare vm

Bienvenido a FLARE-VM, una colección de scripts de instalación de software para sistemas Windows que le permite configurar y mantener fácilmente un entorno de ingeniería inversa en una máquina virtual (VM). FLARE-VM fue diseñado para resolver el problema de la curación de herramientas de ingeniería inversa y se basa en dos tecnologías principales: Chocolatey y Boxstarter. Chocolatey es un sistema de administración de paquetes Nuget basado en Windows, donde un "paquete" es esencialmente un archivo ZIP que contiene scripts de instalación de PowerShell que descargan y configuran una herramienta específica. Boxstarter aprovecha los paquetes de Chocolatey para automatizar la instalación de software y crear entornos Windows repetibles y con scripts.

FLARE-VM SÓLO debe instalarse en una máquina virtual . La VM debe cumplir los siguientes requisitos:

• Ventanas >= 10
• PowerShell >= 5
• Capacidad de disco de al menos 60 GB y memoria de al menos 2 GB
• Nombres de usuario sin espacios ni otros caracteres especiales
• conexión a internet
• Protección contra manipulaciones y cualquier solución antimalware (p. ej., Windows Defender) Windows Defender deshabilitado, preferiblemente a través de la Política de grupo
• Actualizaciones de Windows deshabilitadas

Esta sección documenta los pasos para instalar FLARE-VM. También puede resultarle útil Crear una máquina virtual para ingeniería inversa y análisis de malware. Instalación del vídeo FLARE-VM .

• Prepare una máquina virtual con Windows 10+
  • Instale Windows en la máquina virtual, por ejemplo utilizando la ISO de Windows 10 sin formato desde https://www.microsoft.com/en-us/software-download/windows10ISO
  • Asegúrese de que se cumplan los requisitos anteriores, incluidos:
    • Deshabilite las actualizaciones de Windows (al menos hasta que finalice la instalación)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • Deshabilite la protección contra manipulaciones y cualquier solución antimalware (por ejemplo, Windows Defender), preferiblemente a través de la política de grupo.
      • GPO: https://stackoverflow.com/questions/62174426/how-to-permanfully-disable-windows-defender-real-time-protection-with-gpo
      • Sin GPO - Manual: https://www.maketecheasier.com/permanfully-disable-windows-defender-windows-10/
      • Sin GPO: automatizado: https://github.com/ionuttbara/windows-defender-remover
      • Sin GPO: semiautomatizado (el usuario debe desactivar la protección contra manipulaciones): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
• Tome una instantánea de la VM para poder volver siempre a un estado anterior a la instalación de FLARE-VM

• Abra un mensaje PowerShell como administrador
• Descargue el script de instalación installer.ps1 a su escritorio:
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• Desbloquee el script de instalación:
  • Unblock-File .install.ps1
• Habilitar la ejecución del script:
  • Set-ExecutionPolicy Unrestricted -Force
    • Si recibe un error que indica que la política de ejecución es anulada por una política definida en un alcance más específico, es posible que deba pasar un alcance a través de Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force . Para ver las políticas de ejecución para todos los ámbitos, ejecute Get-ExecutionPolicy -List
• Finalmente, ejecute el script de instalación de la siguiente manera:
  • .install.ps1
    • Para pasar su contraseña como argumento: .install.ps1 -password
    • Para utilizar el modo CLI únicamente con una mínima interacción del usuario: .install.ps1 -password -noWait -noGui
    • Para utilizar el modo solo CLI con una interacción mínima del usuario y un archivo de configuración personalizado: .install.ps1 -customConfig -password -noWait -noGui
• Después de la instalación, se recomienda cambiar al modo de red host-only y tomar una instantánea de la máquina virtual.

A continuación se muestran las descripciones de los parámetros CLI.

 PARAMETERS
    -password 
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword []
        Switch parameter indicating a password is not needed for reboots.

    -customConfig 
        Path to a configuration XML file. May be a file path or URL.

    -customLayout 
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait []
        Switch parameter to skip installation message before installation begins.

    -noGui []
        Switch parameter to skip customization GUI.

    -noReboots []
        Switch parameter to prevent reboots (not recommended).

    -noChecks []
        Switch parameter to skip validation checks (not recommended).

Obtenga información de uso completa ejecutando Get-Help .install.ps1 -Detailed .

La GUI del instalador se muestra después de ejecutar las comprobaciones de validación e instalar Boxstarter y Chocolatey (si aún no están instalados). Usando la GUI del instalador puede personalizar:

• Selección de paquete
• Rutas de variables de entorno

El instalador descargará config.xml del repositorio FLARE-VM. Este archivo contiene la configuración predeterminada, incluida la lista de paquetes para instalar y las rutas de las variables de entorno. Puede utilizar su propia configuración especificando el argumento CLI -customConfig y proporcionando una ruta de archivo local o una URL a su archivo config.xml . Por ejemplo:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

El instalador utilizará CustomStartLayout.xml del repositorio FLARE-VM. Este archivo contiene el diseño predeterminado de la barra de tareas. Puede utilizar su propia configuración especificando el argumento CLI -customLayout y proporcionando una ruta de archivo local o URL a su archivo CustomStartLayout.xml . Por ejemplo:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• Los elementos del archivo .xml que no estén instalados no se mostrarán en la barra de tareas (no se fijarán enlaces rotos)
• Sólo se pueden anclar aplicaciones (archivos .exe) o accesos directos a aplicaciones.
• Si desea fijar algo que no es una aplicación, considere crear un acceso directo que apunte a cmd.exe o powershell con argumentos proporcionados que realizarán las acciones que desee.
• Si desea ejecutar algo con derechos de administrador, considere crear un acceso directo usando VM-Install-Shortcut con el indicador -runAsAdmin y fijar el acceso directo.

Puede incluir cualquier paso posterior a la instalación que desee en la configuración dentro de las etiquetas apps , services , path-items , registry-items y custom-items .

Por ejemplo:

• Para mostrar extensiones de archivos conocidas:

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    registry-items >

Para obtener más ejemplos, consulte el archivo de configuración predeterminado: config.xml.

¿Quieres empezar a contribuir? Consulte los enlaces a continuación para saber cómo hacerlo. ¡Esperamos trabajar con usted para mejorar FLARE-VM! ?

• Script de instalación y configuración de FLARE-VM: https://github.com/mandiant/flare-vm
  • Enviar propuestas de mejora e informar problemas relacionados con el instalador.

• Repositorio de todos los paquetes de herramientas: https://github.com/mandiant/VM-Packages
  • Guías de documentación y contribución para paquetes de herramientas.
  • Envíe nuevos paquetes de herramientas o informe de problemas relacionados con los paquetes

Si su instalación falla, intente identificar el motivo del error de instalación leyendo los archivos de registro que se enumeran a continuación en su sistema:

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

Asegúrese de estar ejecutando la última versión del instalador FLARE-VM y de que su VM cumpla con los requisitos.

Si la instalación falló debido a un problema en el script de instalación (por ejemplo, install.ps1 ), informe el error en FLARE-VM. Proporcione toda la información solicitada para asegurarnos de que podamos ayudarle.

Nota: Rara vez install.ps1 debería ser el motivo de un error de instalación. Lo más probable es que sea un paquete específico o un conjunto de paquetes el que esté fallando (ver más abajo).

Los paquetes no se instalan de vez en cuando; esto es normal. Las razones más comunes se describen a continuación:

1. Error o tiempo de espera de Chocolatey o MyGet para descargar un archivo .nupkg
2. Fallo o tiempo de espera debido a un host remoto al descargar una herramienta
3. El sistema de detección de intrusiones (IDS) o el producto AV (por ejemplo, Windows Defender) impide la descarga de una herramienta o la elimina del sistema.
4. Problema específico del host, por ejemplo cuando se utiliza una versión no probada
5. La herramienta no se puede compilar debido a dependencias
6. URL de herramienta antigua (p. ej., HTTP STATUS 404 )
7. El hash SHA256 de la herramienta ha cambiado del que está codificado en el script de instalación del paquete.

Las razones 1 a 4 nos resultan difíciles de solucionar ya que no las controlamos. Si se presenta un problema relacionado con los motivos 1 a 4 , es poco probable que podamos ayudarlo.

¡Podemos ayudar con las razones 5 a 7 y damos la bienvenida a la comunidad para que también contribuya con soluciones! Informe el error en VM-Packages proporcionando toda la información solicitada.

Tenga en cuenta que las actualizaciones de paquetes son el mejor esfuerzo y que las actualizaciones no se están probando. Si encuentra errores, realice una instalación nueva de FLARE-VM.

Este script de configuración de descarga se proporciona para ayudar a los analistas de seguridad cibernética a crear cajas de herramientas prácticas y versátiles para entornos de análisis de malware. Les proporciona una interfaz conveniente para obtener un conjunto útil de herramientas de análisis directamente de sus fuentes originales. La instalación y el uso de este script están sujetos a la licencia Apache 2.0. Usted, como usuario de este script, debe revisar, aceptar y cumplir con los términos de licencia de cada paquete descargado/instalado. Al continuar con la instalación, acepta los términos de licencia de cada paquete y reconoce que el uso de cada paquete estará sujeto a sus respectivos términos de licencia.