flare vm

Bienvenue dans FLARE-VM - une collection de scripts d'installation de logiciels pour les systèmes Windows qui vous permet de configurer et de maintenir facilement un environnement d'ingénierie inverse sur une machine virtuelle (VM). FLARE-VM a été conçu pour résoudre le problème de curation des outils de rétro-ingénierie et s'appuie sur deux technologies principales : Chocolatey et Boxstarter. Chocolatey est un système de gestion de packages Nuget basé sur Windows, où un « package » est essentiellement un fichier ZIP contenant des scripts d'installation PowerShell qui téléchargent et configurent un outil spécifique. Boxstarter exploite les packages Chocolatey pour automatiser l'installation de logiciels et créer des environnements Windows reproductibles et scriptés.

FLARE-VM doit être installé UNIQUEMENT sur une machine virtuelle . La VM doit répondre aux exigences suivantes :

• Windows >= 10
• PowerShell >= 5
• Capacité disque d'au moins 60 Go et mémoire d'au moins 2 Go
• Noms d'utilisateur sans espaces ni autres caractères spéciaux
• Connexion Internet
• Protection contre la falsification et toute solution anti-malware (par exemple, Windows Defender) Windows Defender désactivé, de préférence via la stratégie de groupe
• Mises à jour Windows désactivées

Cette section documente les étapes d'installation de FLARE-VM. Vous pouvez également trouver utile la création d'une VM pour l'ingénierie inverse et l'analyse des logiciels malveillants ! Installation de la vidéo FLARE-VM .

• Préparez une machine virtuelle Windows 10+
  • Installez Windows sur la machine virtuelle, par exemple en utilisant l'ISO brut de Windows 10 à partir de https://www.microsoft.com/en-us/software-download/windows10ISO
  • Assurez-vous que les exigences ci-dessus sont satisfaites, notamment :
    • Désactivez les mises à jour Windows (au moins jusqu'à ce que l'installation soit terminée)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • Désactivez la protection contre les falsifications et toute solution anti-malware (par exemple, Windows Defender), de préférence via la stratégie de groupe.
      • GPO : https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
      • Non-GPO - Manuel : https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
      • Non-GPO - Automatisé : https://github.com/ionuttbara/windows-defender-remover
      • Non-GPO - Semi-automatisé (l'utilisateur doit désactiver la protection contre les altérations) : [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
• Prenez un instantané de VM afin de pouvoir toujours revenir à un état antérieur à l'installation de FLARE-VM

• Ouvrir une invite PowerShell en tant qu'administrateur
• Téléchargez le script d'installation installer.ps1 sur votre bureau :
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• Débloquez le script d'installation :
  • Unblock-File .install.ps1
• Activer l'exécution du script :
  • Set-ExecutionPolicy Unrestricted -Force
    • Si vous recevez une erreur indiquant que la politique d'exécution est remplacée par une politique définie dans une portée plus spécifique, vous devrez peut-être transmettre une portée via Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force . Pour afficher les politiques d'exécution pour toutes les étendues, exécutez Get-ExecutionPolicy -List
• Enfin, exécutez le script d'installation comme suit :
  • .install.ps1
    • Pour passer votre mot de passe en argument : .install.ps1 -password
    • Pour utiliser le mode CLI uniquement avec une interaction utilisateur minimale : .install.ps1 -password -noWait -noGui
    • Pour utiliser le mode CLI uniquement avec une interaction utilisateur minimale et un fichier de configuration personnalisé : .install.ps1 -customConfig -password -noWait -noGui
• Après l'installation, il est recommandé de passer en mode réseau host-only et de prendre un instantané de la VM.

Vous trouverez ci-dessous les descriptions des paramètres CLI.

 PARAMETERS
    -password 
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword []
        Switch parameter indicating a password is not needed for reboots.

    -customConfig 
        Path to a configuration XML file. May be a file path or URL.

    -customLayout 
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait []
        Switch parameter to skip installation message before installation begins.

    -noGui []
        Switch parameter to skip customization GUI.

    -noReboots []
        Switch parameter to prevent reboots (not recommended).

    -noChecks []
        Switch parameter to skip validation checks (not recommended).

Obtenez des informations complètes sur l’utilisation en exécutant Get-Help .install.ps1 -Detailed .

L'interface graphique du programme d'installation s'affiche après l'exécution des contrôles de validation et l'installation de Boxstarter et Chocolatey (s'ils ne sont pas déjà installés). À l'aide de l'interface graphique du programme d'installation, vous pouvez personnaliser :

• Sélection des forfaits
• Chemins des variables d'environnement

Le programme d'installation téléchargera config.xml à partir du référentiel FLARE-VM. Ce fichier contient la configuration par défaut, y compris la liste des packages à installer et les chemins des variables d'environnement. Vous pouvez utiliser votre propre configuration en spécifiant l'argument CLI -customConfig et en fournissant soit un chemin de fichier local, soit une URL vers votre fichier config.xml . Par exemple:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

Le programme d'installation utilisera CustomStartLayout.xml du référentiel FLARE-VM. Ce fichier contient la disposition par défaut de la barre des tâches. Vous pouvez utiliser votre propre configuration en spécifiant l'argument CLI -customLayout et en fournissant un chemin de fichier local ou une URL vers votre fichier CustomStartLayout.xml . Par exemple:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• Les éléments du fichier .xml qui ne sont pas installés ne s'afficheront pas dans la barre des tâches (aucun lien brisé ne sera épinglé)
• Seules les applications (fichiers .exe) ou les raccourcis vers les applications peuvent être épinglés.
• Si vous souhaitez épingler quelque chose qui n'est pas une application, envisagez de créer un raccourci pointant vers cmd.exe ou powershell avec les arguments fournis qui effectueront les actions que vous souhaitez.
• Si vous souhaitez exécuter quelque chose avec des droits d'administrateur, envisagez de créer un raccourci en utilisant VM-Install-Shortcut avec l'indicateur -runAsAdmin et d'épingler le raccourci.

Vous pouvez inclure n'importe quelle étape post-installation de votre choix dans la configuration à l'intérieur des balises apps , services , path-items , registry-items et custom-items .

Par exemple:

• Pour afficher les extensions de fichiers connues :

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    registry-items >

Pour plus d'exemples, consultez le fichier de configuration par défaut : config.xml.

Voulez-vous commencer à contribuer ? Consultez les liens ci-dessous pour savoir comment procéder. Nous sommes impatients de travailler avec vous pour améliorer FLARE-VM ! ?

• Script d'installation et configuration de FLARE-VM : https://github.com/mandiant/flare-vm
  • Soumettre des propositions d'amélioration et signaler les problèmes liés au programme d'installation

• Référentiel de tous les packages d'outils : https://github.com/mandiant/VM-Packages
  • Guides de documentation et de contribution pour les packages d’outils
  • Soumettre de nouveaux packages d'outils ou signaler les problèmes liés aux packages

Si votre installation échoue, essayez d'identifier la raison de l'erreur d'installation en lisant les fichiers journaux répertoriés ci-dessous sur votre système :

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

Assurez-vous que vous exécutez la dernière version du programme d'installation de FLARE-VM et que votre VM répond aux exigences.

Si l'installation a échoué en raison d'un problème dans le script d'installation (par exemple, install.ps1 ), signalez le bogue dans FLARE-VM. Fournissez toutes les informations demandées pour que nous puissions vous aider.

Remarque : Il est rare que install.ps1 soit à l'origine d'un échec d'installation. Il s'agit très probablement d'un package spécifique ou d'un ensemble de packages qui échouent (voir ci-dessous).

Les packages ne parviennent pas à s’installer de temps en temps – c’est normal. Les raisons les plus courantes sont décrites ci-dessous :

1. Échec ou délai d'attente de Chocolatey ou MyGet pour télécharger un fichier .nupkg
2. Échec ou délai d'attente dû à un hôte distant lors du téléchargement d'un outil
3. Le système de détection d'intrusion (IDS) ou un produit antivirus (par exemple, Windows Defender) empêche le téléchargement d'un outil ou supprime l'outil du système.
4. Problème spécifique à l'hôte, par exemple lors de l'utilisation d'une version non testée
5. L'outil ne parvient pas à se construire en raison de dépendances
6. Ancienne URL de l'outil (par exemple, HTTP STATUS 404 )
7. Le hachage SHA256 de l'outil a changé par rapport à ce qui est codé en dur dans le script d'installation du package

Les raisons 1 à 4 sont difficiles à corriger car nous ne les contrôlons pas. Si un problème lié aux raisons 1 à 4 est déposé, il est peu probable que nous puissions vous aider.

Nous pouvons vous aider pour les raisons 5 à 7 et inviter la communauté à apporter également des correctifs ! Veuillez signaler le bug dans VM-Packages en fournissant toutes les informations demandées.

Notez que les mises à jour des packages constituent un effort optimal et que les mises à jour ne sont pas testées. Si vous rencontrez des erreurs, effectuez une nouvelle installation de FLARE-VM.

Ce script de configuration de téléchargement est fourni pour aider les analystes de cybersécurité à créer des boîtes à outils pratiques et polyvalentes pour les environnements d'analyse de logiciels malveillants. Il leur fournit une interface pratique leur permettant d’obtenir un ensemble utile d’outils d’analyse directement à partir de leurs sources d’origine. L'installation et l'utilisation de ce script sont soumises à la licence Apache 2.0. En tant qu'utilisateur de ce script, vous devez lire, accepter et respecter les termes de licence de chaque package téléchargé/installé. En procédant à l'installation, vous acceptez les conditions de licence de chaque package et reconnaissez que votre utilisation de chaque package sera soumise à ses conditions de licence respectives.