flare vm

Добро пожаловать в FLARE-VM — набор сценариев установки программного обеспечения для систем Windows, который позволяет легко настраивать и поддерживать среду обратного проектирования на виртуальной машине (ВМ). FLARE-VM был разработан для решения проблемы курирования инструментов реверс-инжиниринга и опирается на две основные технологии: Chocolatey и Boxstarter. Chocolatey — это система управления пакетами Nuget на базе Windows, где «пакет» — это, по сути, ZIP-файл, содержащий сценарии установки PowerShell, которые загружают и настраивают определенный инструмент. Boxstarter использует пакеты Chocolatey для автоматизации установки программного обеспечения и создания повторяемых сред Windows со сценариями.

FLARE-VM следует устанавливать ТОЛЬКО на виртуальной машине . Виртуальная машина должна удовлетворять следующим требованиям:

• Windows >= 10
• PowerShell >= 5
• Емкость диска не менее 60 ГБ и памяти не менее 2 ГБ
• Имена пользователей без пробелов и других специальных символов
• подключение к Интернету
• Защита от несанкционированного доступа и любое решение для защиты от вредоносных программ (например, Защитник Windows). Защитник Windows отключен, желательно с помощью групповой политики.
• Обновления Windows отключены

В этом разделе описаны шаги по установке FLARE-VM. Вам также может пригодиться статья «Создание виртуальной машины для обратного проектирования и анализа вредоносного ПО»! Установка видео FLARE-VM .

• Подготовьте виртуальную машину Windows 10+.
  • Установите Windows на виртуальную машину, например, используя необработанный ISO-образ Windows 10 с https://www.microsoft.com/en-us/software-download/windows10ISO.
  • Убедитесь, что вышеуказанные требования удовлетворены, в том числе:
    • Отключите обновления Windows (по крайней мере, до завершения установки)
      • https://www.windowscentral.com/how-stop-updates-installing-automatically-windows-10
    • Отключите защиту от несанкционированного доступа и любое решение для защиты от вредоносных программ (например, Защитник Windows), желательно с помощью групповой политики.
      • Объект групповой политики: https://stackoverflow.com/questions/62174426/how-to-permanally-disable-windows-defender-real-time-protection-with-gpo
      • Без объекта групповой политики – Руководство: https://www.maketecheasier.com/permanally-disable-windows-defender-windows-10/
      • Без объекта групповой политики – автоматически: https://github.com/ionuttbara/windows-defender-remover.
      • Без объекта групповой политики — полуавтоматический (пользователю необходимо отключить защиту от несанкционированного доступа): [https://github.com/AveYo/LeanAndMean/blob/main/ToggleDefender.ps1] (https://github.com/AveYo/LeanAndMean) /blob/main/ToggleDefender.ps1)
• Сделайте снимок виртуальной машины, чтобы вы всегда могли вернуться к состоянию до установки FLARE-VM.

• Откройте приглашение PowerShell от имени администратора.
• Загрузите скрипт установки installer.ps1 на рабочий стол:
  • (New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))install.ps1")
• Разблокируйте скрипт установки:
  • Unblock-File .install.ps1
• Включите выполнение скрипта:
  • Set-ExecutionPolicy Unrestricted -Force
    • Если вы получаете сообщение об ошибке, сообщающее, что политика выполнения переопределена политикой, определенной в более конкретной области, вам может потребоваться передать область через Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force . Чтобы просмотреть политики выполнения для всех областей, выполните Get-ExecutionPolicy -List
• Наконец, выполните сценарий установщика следующим образом:
  • .install.ps1
    • Чтобы передать пароль в качестве аргумента: .install.ps1 -password
    • Чтобы использовать режим только CLI с минимальным взаимодействием с пользователем: .install.ps1 -password -noWait -noGui
    • Чтобы использовать режим только CLI с минимальным взаимодействием с пользователем и настраиваемым файлом конфигурации: .install.ps1 -customConfig -password -noWait -noGui
• После установки рекомендуется переключиться в сетевой режим host-only и сделать снимок виртуальной машины.

Ниже приведены описания параметров CLI.

 PARAMETERS
    -password 
        Current user password to allow reboot resiliency via Boxstarter. The script prompts for the password if not provided.

    -noPassword []
        Switch parameter indicating a password is not needed for reboots.

    -customConfig 
        Path to a configuration XML file. May be a file path or URL.

    -customLayout 
        Path to a taskbar layout XML file. May be a file path or URL.

    -noWait []
        Switch parameter to skip installation message before installation begins.

    -noGui []
        Switch parameter to skip customization GUI.

    -noReboots []
        Switch parameter to prevent reboots (not recommended).

    -noChecks []
        Switch parameter to skip validation checks (not recommended).

Получите полную информацию об использовании, запустив Get-Help .install.ps1 -Detailed .

Графический интерфейс установщика отображается после выполнения проверок и установки Boxstarter и Chocolatey (если они еще не установлены). Используя графический интерфейс установщика, вы можете настроить:

• Выбор пакета
• Пути переменных среды

Установщик загрузит config.xml из репозитория FLARE-VM. Этот файл содержит конфигурацию по умолчанию, включая список пакетов для установки и пути к переменным среды. Вы можете использовать свою собственную конфигурацию, указав аргумент CLI -customConfig и указав либо путь к локальному файлу, либо URL-адрес вашего файла config.xml . Например:

 .install.ps1 -customConfig "https://raw.githubusercontent.com/mandiant/flare-vm/main/config.xml"

Установщик будет использовать CustomStartLayout.xml из репозитория FLARE-VM. Этот файл содержит макет панели задач по умолчанию. Вы можете использовать свою собственную конфигурацию, указав аргумент CLI -customLayout и указав путь к локальному файлу или URL-адрес файла CustomStartLayout.xml . Например:

 .install.ps1 -customLayout "https://raw.githubusercontent.com/mandiant/flare-vm/main/CustomStartLayout.xml"

• Элементы в XML-файле, которые не установлены, не будут отображаться на панели задач (неработающие ссылки не будут закреплены).
• Закрепить можно только приложения (файлы .exe) или ярлыки приложений.
• Если вы хотите закрепить что-то, что не является приложением, рассмотрите возможность создания ярлыка, указывающего на cmd.exe или powershell с предоставленными аргументами, которые будут выполнять нужные вам действия.
• Если вы хотите, чтобы что-то запускалось с правами администратора, рассмотрите возможность создания ярлыка с помощью VM-Install-Shortcut с флагом -runAsAdmin и закрепите ярлык.

Вы можете включить любой шаг после установки, который вам нравится, в конфигурацию внутри тегов apps , services , path-items , registry-items и custom-items .

Например:

• Чтобы показать известные расширения файлов:

    < registry-items >
        < registry-item name = " Show known file extensions " path = " HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced " value = " HideFileExt " type = " DWord " data = " 0 " />
    registry-items >

Дополнительные примеры см. в файле конфигурации по умолчанию: config.xml.

Хотите начать вносить вклад? Чтобы узнать, как это сделать, перейдите по ссылкам ниже. Мы с нетерпением ждем совместной работы над улучшением FLARE-VM! ?

• Сценарий установки и настройка FLARE-VM: https://github.com/mandiant/flare-vm.
  • Отправляйте предложения по улучшению и сообщайте о проблемах, связанных с установщиком.

• Репозиторий всех пакетов инструментов: https://github.com/mandiant/VM-Packages.
  • Документация и руководства для пакетов инструментов
  • Отправляйте новые пакеты инструментов или сообщайте о проблемах, связанных с пакетами.

Если установка не удалась, попытайтесь определить причину ошибки установки, прочитав файлы журналов, перечисленные ниже, в вашей системе:

• %VM_COMMON_DIR%log.txt
• %PROGRAMDATA%chocolateylogschocolatey.log
• %LOCALAPPDATA%Boxstarterboxstarter.log

Убедитесь, что вы используете последнюю версию установщика FLARE-VM и что ваша виртуальная машина соответствует требованиям.

Если установка не удалась из-за проблемы в сценарии установки (например, install.ps1 ), сообщите об ошибке в FLARE-VM. Предоставьте всю запрошенную информацию, чтобы мы могли вам помочь.

Примечание. install.ps1 редко может быть причиной сбоя установки. Скорее всего, произошел сбой конкретного пакета или набора пакетов (см. ниже).

Пакеты время от времени не устанавливаются — это нормально. Наиболее распространенные причины описаны ниже:

1. Сбой или тайм-аут Chocolatey или MyGet для загрузки файла .nupkg
2. Сбой или тайм-аут из-за удаленного хоста при загрузке инструмента
3. Система обнаружения вторжений (IDS) или антивирусный продукт (например, Защитник Windows) предотвращает загрузку инструмента или удаляет его из системы.
4. Проблема, специфичная для хоста, например, при использовании непроверенной версии.
5. Инструмент не может быть собран из-за зависимостей
6. URL-адрес старого инструмента (например, HTTP STATUS 404 )
7. Хэш SHA256 инструмента изменился по сравнению с тем, что жестко закодировано в скрипте установки пакета.

Причины 1-4 нам исправить сложно, так как мы их не контролируем. Если будет подана проблема, связанная с причинами 1–4 , маловероятно, что мы сможем помочь.

Мы можем помочь с причинами 5–7 и приглашаем сообщество внести исправления! Пожалуйста, сообщите об ошибке в VM-Packages, предоставив всю запрошенную информацию.

Обратите внимание, что обновления пакетов являются лучшими и что обновления не тестируются. Если вы обнаружите ошибки, выполните новую установку FLARE-VM.

Этот загружаемый сценарий конфигурации предназначен для помощи аналитикам кибербезопасности в создании удобных и универсальных наборов инструментов для сред анализа вредоносных программ. Он предоставляет им удобный интерфейс для получения полезного набора инструментов анализа непосредственно из исходных источников. Установка и использование этого сценария регулируются лицензией Apache 2.0. Вы, как пользователь этого скрипта, должны просмотреть, принять и соблюдать условия лицензии каждого загруженного/установленного пакета. Продолжая установку, вы принимаете условия лицензии каждого пакета и подтверждаете, что использование каждого пакета будет регулироваться соответствующими условиями лицензии.