flare vm

Bem-vindo ao FLARE-VM – uma coleção de scripts de instalação de software para sistemas Windows que permite configurar e manter facilmente um ambiente de engenharia reversa em uma máquina virtual (VM). FLARE-VM foi projetado para resolver o problema de curadoria de ferramentas de engenharia reversa e conta com duas tecnologias principais: Chocolatey e Boxstarter. Chocolatey é um sistema de gerenciamento de pacotes Nuget baseado em Windows, onde um “pacote” é essencialmente um arquivo ZIP contendo scripts de instalação do PowerShell que baixam e configuram uma ferramenta específica. Boxstarter aproveita pacotes Chocolatey para automatizar a instalação de software e criar ambientes Windows com script e repetíveis.

O FLARE-VM SÓ deve ser instalado em uma máquina virtual . A VM deve satisfazer os seguintes requisitos:

• Janelas >= 10
• PowerShell >= 5
• Capacidade de disco de pelo menos 60 GB e memória de pelo menos 2 GB
• Nomes de usuário sem espaços ou outros caracteres especiais
• Conexão com a Internet
• Proteção contra adulteração e qualquer solução antimalware (por exemplo, Windows Defender) Windows Defender desativado, de preferência por meio da Política de Grupo
• Atualizações do Windows desativadas

Esta seção documenta as etapas para instalar o FLARE-VM. Você também pode achar útil Construindo uma VM para Engenharia Reversa e Análise de Malware! Instalando o vídeo FLARE-VM .

• Prepare uma máquina virtual Windows 10+
  • Instale o Windows na máquina virtual, por exemplo, usando o ISO bruto do Windows 10 em https://www.microsoft.com/en-us/software-download/windows10ISO
  • Certifique-se de que os requisitos acima sejam atendidos, incluindo:
    • Desative as atualizações do Windows (pelo menos até a conclusão da instalação)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • Desative a proteção contra adulteração e qualquer solução antimalware (por exemplo, Windows Defender), de preferência por meio da Política de Grupo.
      • GPO: https://stackoverflow.com/questions/62174426/how-to-permanently-disable-windows-defender-real-time-protection-with-gpo
      • Não GPO - Manual: https://www.maketecheasier.com/permanently-disable-windows-defender-windows-10/
      • Não GPO - Automatizado: https://github.com/ionuttbara/windows-defender-remover
      • Não GPO - Semiautomático (o usuário precisa desativar a proteção contra adulteração): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean /blob/main/ToggleDefender.ps1)
• Tire um snapshot da VM para poder sempre reverter para um estado anterior à instalação do FLARE-VM

• Abra um prompt PowerShell como administrador
• Baixe o script de instalação installer.ps1 para sua área de trabalho:
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• Desbloqueie o script de instalação:
  • Unblock-File .install.ps1
• Habilite a execução do script:
  • Set-ExecutionPolicy Unrestricted -Force
    • Se você receber um erro informando que a política de execução foi substituída por uma política definida em um escopo mais específico, talvez seja necessário passar um escopo por meio de Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force . Para visualizar políticas de execução para todos os escopos, execute Get-ExecutionPolicy -List
• Por fim, execute o script do instalador da seguinte forma:
  • .install.ps1
    • Para passar sua senha como argumento: .install.ps1 -password <password>
    • Para usar o modo somente CLI com interação mínima do usuário: .install.ps1 -password <password> -noWait -noGui
    • Para usar o modo somente CLI com interação mínima do usuário e um arquivo de configuração personalizado: .install.ps1 -customConfig <config.xml> -password <password> -noWait -noGui
• Após a instalação, é recomendado alternar para o modo de rede host-only e obter um instantâneo da VM

Abaixo estão as descrições dos parâmetros CLI.

 PARAMETERS
    -password <String>
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword [<SwitchParameter>]
        Switch parameter indicating a password is not needed for reboots.

    -customConfig <String>
        Path to a configuration XML file. May be a file path or URL.

    -customLayout <String>
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait [<SwitchParameter>]
        Switch parameter to skip installation message before installation begins.

    -noGui [<SwitchParameter>]
        Switch parameter to skip customization GUI.

    -noReboots [<SwitchParameter>]
        Switch parameter to prevent reboots (not recommended).

    -noChecks [<SwitchParameter>]
        Switch parameter to skip validation checks (not recommended).

Obtenha informações completas de uso executando Get-Help .install.ps1 -Detailed .

A GUI do instalador é exibida após a execução das verificações de validação e instalação do Boxstarter e do Chocolatey (se ainda não estiverem instalados). Usando a GUI do instalador você pode personalizar:

• Seleção de pacote
• Caminhos de variáveis ​​de ambiente

O instalador fará download do config.xml do repositório FLARE-VM. Este arquivo contém a configuração padrão, incluindo a lista de pacotes a serem instalados e os caminhos das variáveis ​​de ambiente. Você pode usar sua própria configuração especificando o argumento CLI -customConfig e fornecendo um caminho de arquivo local ou URL para seu arquivo config.xml . Por exemplo:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

O instalador usará CustomStartLayout.xml do repositório FLARE-VM. Este arquivo contém o layout padrão da barra de tarefas. Você pode usar sua própria configuração especificando o argumento CLI -customLayout e fornecendo um caminho de arquivo local ou URL para seu arquivo CustomStartLayout.xml . Por exemplo:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• Os itens no .xml que não estão instalados não serão exibidos na barra de tarefas (nenhum link quebrado será fixado)
• Somente aplicativos (arquivos .exe) ou atalhos para aplicativos podem ser fixados.
• Se você quiser fixar algo que não seja um aplicativo, considere criar um atalho que aponte para cmd.exe ou powershell com argumentos fornecidos que executarão as ações que você deseja.
• Se você quiser fazer algo rodar com direitos de administrador, considere criar um atalho usando VM-Install-Shortcut com o sinalizador -runAsAdmin e fixando o atalho.

Você pode incluir qualquer etapa de pós-instalação que desejar na configuração dentro das tags apps , services , path-items , registry-items e custom-items .

Por exemplo:

• Para mostrar extensões de arquivo conhecidas:

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    </ registry-items >

Para obter mais exemplos, verifique o arquivo de configuração padrão: config.xml.

Quer começar a contribuir? Veja os links abaixo para saber como. Estamos ansiosos para trabalhar com você para melhorar o FLARE-VM! ?

• Script de instalação e configuração do FLARE-VM: https://github.com/mandiant/flare-vm
  • Envie propostas de melhorias e relate problemas relacionados ao instalador

• Repositório de todos os pacotes de ferramentas: https://github.com/mandiant/VM-Packages
  • Documentação e guias de contribuição para pacotes de ferramentas
  • Envie novos pacotes de ferramentas ou relate problemas relacionados ao pacote

Se a instalação falhar, tente identificar o motivo do erro de instalação lendo os arquivos de log listados abaixo em seu sistema:

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

Certifique-se de estar executando a versão mais recente do instalador FLARE-VM e de que sua VM atenda aos requisitos.

Se a instalação falhou devido a um problema no script de instalação (por exemplo, install.ps1 ), relate o bug no FLARE-VM. Forneça todas as informações solicitadas para garantir que possamos ajudá-lo.

Nota: Raramente install.ps1 deve ser o motivo de uma falha na instalação. Muito provavelmente é um pacote específico ou um conjunto de pacotes que está falhando (veja abaixo).

Os pacotes falham na instalação de tempos em tempos – isso é normal. Os motivos mais comuns são descritos abaixo:

1. Falha ou tempo limite do Chocolatey ou MyGet para baixar um arquivo .nupkg
2. Falha ou tempo limite devido ao host remoto ao baixar uma ferramenta
3. O Sistema de Detecção de Intrusão (IDS) ou produto AV (por exemplo, Windows Defender) impede o download de uma ferramenta ou remove a ferramenta do sistema
4. Problema específico do host, por exemplo, ao usar uma versão não testada
5. A ferramenta não é construída devido a dependências
6. URL da ferramenta antiga (por exemplo, HTTP STATUS 404 )
7. O hash SHA256 da ferramenta mudou em relação ao que está codificado no script de instalação do pacote

As razões 1 a 4 são difíceis de resolver, pois não as controlamos. Se um problema relacionado aos motivos 1 a 4 for registrado, é improvável que possamos ajudar.

Podemos ajudar com os motivos 5 a 7 e convidar a comunidade a contribuir com soluções também! Por favor reporte o bug em VM-Packages fornecendo todas as informações solicitadas.

Observe que as atualizações de pacotes são o melhor esforço e que as atualizações não estão sendo testadas. Se você encontrar erros, execute uma nova instalação do FLARE-VM.

Este script de configuração de download é fornecido para ajudar os analistas de segurança cibernética na criação de caixas de ferramentas úteis e versáteis para ambientes de análise de malware. Ele fornece uma interface conveniente para obter um conjunto útil de ferramentas de análise diretamente de suas fontes originais. A instalação e o uso deste script estão sujeitos à licença Apache 2.0. Você, como usuário deste script, deve revisar, aceitar e cumprir os termos de licença de cada pacote baixado/instalado. Ao prosseguir com a instalação, você aceita os termos de licença de cada pacote e reconhece que o uso de cada pacote estará sujeito aos respectivos termos de licença.