Sau một thời gian mình mới quay lại viết bài do những lý do cá nhân và đặc
biệt là mình rất vui mừng khi chào đón baby.
1 - Giới thiệu
Trong bài viết này mình sẽ hướng dẫn tạo một phòng lab cá nhân đơn giản
trên một hệ thống vật lý duy nhất bao gồm máy ảo.
2 - Yêu cầu của phòng lab
Trước khi bắt đầu thiết lập phòng thí nghiệm, bạn cần có một số thành
phần: hệ thống vật lý chạy hệ điều hành cơ bản là Linux, Windows hoặc
macOS X và được cài đặt phần mềm ảo hóa (chẳng hạn như VMware hoặc
VirtualBox). Khi phân tích mã độc, bạn sẽ thực thi phần mềm độc hại trên
máy ảo chạy Windows. Ưu điểm của việc sử dụng máy ảo là sau khi phân tích
xong mã độc, bạn có thể hoàn nguyên nó về trạng thái sạch nhanh chóng thay
vì phải cài đặt lại từ đầu mất nhiều thời gian.
Note: VMware Workstation dành cho Windows và Linux hiện có sẵn để tải xuống từ https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html [1] và VMware Fusion dành cho macOS X hiện có sẵn để tải xuống từ https://www.vmware.com/products/fusion/fusion-evaluation.html [2].VirtualBox dành cho các phiên bản hệ điều hành khác nhau có sẵn để tải xuống từ https://www.virtualbox.org/wiki/Downloads. [3]
2.1 - Thiết bị chính: HP ProBook 440 G7
- Intel(R) Core(TM) i5-10210U CPU @ 1.60GHz
- 16.00 GB
- SSD 256
- HDD 500GB 2.5 inch 7200rpm
- OS Name Microsoft Windows 10 Enterprise
2.2 - Hệ thống máy ảo
- VMware® Workstation 17 Pro
- Microsoft Windows 10 Enterprise (4 tháng kích hoạt)
- VRAM 8 GB
- VDisk 80GB
- REMnux v7 (Ubuntu v20.04.3 LTS)
- VRAM 8GB
- VDisk 62.6 GB
Để tạo môi trường phòng lab an toàn, bạn nên thực hiện các biện pháp
phòng ngừa cần thiết để tránh mã độc thoát khỏi môi trường ảo hóa và lây
nhiễm vào hệ thống vật lý (máy chủ) của bạn. Sau đây là một số điểm cần
nhớ khi thiết lập phòng thí nghiệm ảo hóa:
- Luôn cập nhật phần mềm ảo hóa của bạn. Điều này là cần thiết vì mã độc có thể khai thác lỗ hổng trong phần mềm ảo hóa, thoát khỏi môi trường ảo và lây nhiễm vào hệ thống máy chủ của bạn.
- Cài đặt bản sao mới của hệ điều hành bên trong máy ảo (VM) và không lưu giữ bất kỳ thông tin nhạy cảm nào trong máy ảo.
- Trong khi phân tích mã độc, nếu bạn không muốn mã độc tiếp cận Internet thì bạn nên cân nhắc sử dụng chỉ dành cho máy chủ chế độ cấu hình mạng hoặc hạn chế lưu lượng truy cập mạng trong môi trường phòng thí nghiệm của bạn bằng cách sử dụng các dịch vụ mô phỏng.
- Không kết nối bất kỳ phương tiện lưu động nào mà sau này có thể được sử dụng trên các máy vật lý, chẳng hạn như ổ USB.
- Vì bạn sẽ phân tích mã độc Windows (thường là Có thể thực thi hoặc DLL), do đó nên chọn hệ điều hành cơ bản như Linux hoặc macOS X cho máy chủ thay vì Windows. Điều này là do ngay cả khi mã độc Windows thoát khỏi máy ảo, nó vẫn không thể lây nhiễm vào máy chủ của bạn.
3 - Sơ đồ phòng Lab
Hệ thống phòng lab mà mình sẽ sử dụng trong suốt hướng dẫn này bao gồm
một máy vật lý (được gọi là máy chủ - host) chạy Windows cùng hai máy
ảo là REMnuxLinux (REMnuxVM) và máy ảo Windows (Windows VM). Các máy
ảo này sẽ được cấu hình để trở thành một phần của cùng một mạng và sử
dụng chế độ cấu hình mạng Host-only để mã độc không được phép kết nối
với Internet đồng thời thì lưu lượng truy cập mạng được chứa trong môi
trường phòng thí nghiệm biệt lập.
Windows VM là nơi mã độc sẽ được thực thi trong quá trình phân tích
còn REMnux VM được sử dụng để giám sát lưu lượng mạng và sẽ được
định cấu hình để mô phỏng các dịch vụ Internet (DNS, HTTP, v.v.)
nhằm cung cấp phản hồi thích hợp khi mã độc yêu cầu những dịch vụ
này. Ví dụ: máy ảo Linux sẽ được cấu hình sao cho khi phần mềm độc
hại yêu cầu một dịch vụ như DNS, máy ảo Linux sẽ cung cấp phản hồi
DNS thích hợp.
Hình dưới đây sẽ minh họa về kiến trúc phòng lab đơn giản mà mình sẽ
sử dụng. Trong thiết lập này, máy ảo Linux sẽ được cấu hình sẵn địa
chỉ IP 10.0.0.2 và địa chỉ IP của máy ảo Windows sẽ được đặt thành
10.0.0.x (trong đó x là số bất kỳ từ 1 đến 254 ngoại trừ 2). Để dễ
nhớ mình đặt là 10.0.0.3. Cổng mặc định (Default Gateway) và DNS
(Domain Name System) của máy ảo Windows sẽ được đặt thành địa chỉ IP
của máy ảo Linux (nghĩa là 10.0.0.2) để tất cả lưu lượng truy cập
mạng Windows được định tuyến qua máy ảo Linux. Phần sắp tới sẽ hướng
dẫn bạn thiết lập Linux VM và Windows VM chi tiết.
Để cho dễ hiểu thì mình tóm tắt thành các bước thiết lập theo thứ tự
(tương ứng với phần 4, 5, 6, 7, 8, 9) bằng sơ đồ như sau:
4 - Tải bộ cài đặt
4.1 - Windows 10
Thời điểm mình viết bài này có Windows 11 version 23H2 là bản cao nhất
của Windows
https://www.microsoft.com/software-download/windows11. [4]
Windows 11 development environment tải tại đây:
Mình vẫn lựa chọn sử dụng Windows 10 vì đơn giản nó vẫn rất phổ
biến (tại thời điểm mình viết bài) và trên hết là sự ổn định cho
cấu hình máy vật lý đang sử dụng. Tất nhiên bạn vẫn có thể sử dụng
Windows 11 và các phiên bản cũ hơn như Windows 7, Windows XP tùy
thuộc cấu hình máy.
Để có được bản cài đặt Windows 10 miễn phí Microsoft cung cấp
một máy ảo miễn phí nhằm mục đích thử nghiệm trình duyệt web IE và
Edge. Để tải xuống máy ảo Microsoft, hãy truy cập https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/ [6] và tải xuống tệp zip MSEdge trên Windows 10 và
chọn nền tảng VM ưa thích của bạn. Hiện tại khi mở liên kết này
thì không còn dùng được nữa, nhận được thông báo:
Không sao cả, bạn có thể sử dụng link tải Windows 10 development
environment tại đây: https://www.microsoft.com/en-us/evalcenter/download-windows-10-enterprise [7]
Note: Trên Hyper-V vẫn có thể tải được, đã có bài viết mình hướng dẫn chi tiết: Hướng dẫn tạo máy ảo Windows 10 Hyper-V.
Note: Bạn có thể tham khảo thêm những bài viết này của Microsfot về Hyper-V: https://learn.microsoft.com/vi-vn/virtualization/hyper-v-on-windows/quick-start/enable-hyper-v [8] và https://learn.microsoft.com/en-us/virtualization/hyper-v-on-windows/quick-start/quick-create-virtual-machine?source=recommendations [9].
Việc lựa chọn tải về và cài đặt từ đầu sẽ là mất nhiều thời gian vì
vậy mình có tổng hợp lại một số link có thể tải bản Windows dựng
sẵn:
- https://pan.huang1111.cn/s/v8XwSE [16] - Pass: revteam.re
Một máy ảo nữa đã được làm sẵn ở đây:
https://pan.huang1111.cn/s/v8XwSE?path=%2FSANS%20FOR610%20Reverse%20Engineering%20Malware%20Malware%20Analysis%20Tools%20and%20Techniques%2FLab%2FREM%20Workstation [17] Pass: revteam.re
Việc cài đặt Windows trên máy ảo VMWare mình không đi chi tiết vì
đã có rất nhiều hướng dẫn rồi.
Tiếp theo là tải gói cài đặt FlareVm của mandiant. Hướng dẫn chi
tiết có ở địa chỉ này: https://github.com/mandiant/flare-vm
Nội dung:
Yêu cầu:
- Chỉ cài đặt FLARE-VM trên máy ảo (VM).
- VM phải có:
- Windows phiên bản 10 trở lên.
- PowerShell phiên bản 5 trở lên.
- Ít nhất 60 GB dung lượng ổ đĩa và 2 GB bộ nhớ.
- Tên người dùng không chứa dấu cách hoặc ký tự đặc biệt.
- Kết nối Internet.
- Tamper Protection và các giải pháp chống phần mềm độc hại (như Windows Defender) bị vô hiệu hóa, tốt nhất qua Chính sách nhóm.
- Cập nhật Windows bị vô hiệu hóa.
Hướng dẫn cài đặt:
- Chuẩn bị máy ảo Windows 10+.
- Cài đặt Windows trong máy ảo, sử dụng ISO từ Microsoft.
- Đảm bảo VM đáp ứng các yêu cầu trên, bao gồm:
- Chụp ảnh nhanh VM để có thể quay lại trạng thái trước khi cài đặt.
Cài đặt FLARE-VM:
- Mở PowerShell với quyền quản trị viên.
- Tải tập lệnh cài đặt
installer.ps1xuống Desktop:(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1") - Bỏ chặn tập lệnh:
Unblock-File .\install.ps1 - Cho phép thực thi tập lệnh:
Set-ExecutionPolicy Unrestricted -Force - Nếu gặp lỗi về chính sách thực thi, sử dụng:
Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force - Xem các chính sách thực thi cho tất cả phạm vi:
Get-ExecutionPolicy -List - Thực thi tập lệnh cài đặt:
.\install.ps1 - Để chuyển mật khẩu làm đối số:
.\install.ps1 -password <password> - Để sử dụng chế độ chỉ CLI với tương tác người dùng tối thiểu:
.\install.ps1 -password <password> -noWait -noGui - Để sử dụng chế độ CLI với tệp cấu hình tùy chỉnh:
.\install.ps1 -customConfig <config.xml> -password <password> -noWait -noGui - Sau khi cài đặt, chuyển sang host-only mode cho kết nối mạng và chụp ảnh nhanh VM.
Lưu ý ở bước 3: Do ở bước 2 là thực hiện tải installer.ps1 về Desktop do đó nếu thực hiện lệnh Unblock-File .\install.ps1 sẽ báo lỗi Cannot find path 'C:\WINDOWS\system32\install.ps1' Vì ta đang chạy PowerShell với quền Administrator.
Cách fix 1: copy file install.ps1 vào thư mục system32 và chạy lại lệnh đó.
Cách fix 2:
C:\WINDOWS\system32> cd.. //Dùng cd.. để lùi lại thư mục system32 . C:\WINDOWS> cd.. //Dùng tiếp cd.. để lùi lại tiếp thư mục WINDOWS C:\Users\MTCyberSecurity\Desktop //Dùng lệnh cd để chuyển đến thư mục Desktop với đường dẫn là \Users\MTCyberSecurity\Desktop.
Quá trình cài đặt hoàn toàn tự động, thời gian hoàn thành tùy thuộc vào kết nối mạng (tôi đã mất hơn 2 tiếng). Khi hoàn thành Windows sẽ chuyển sang giao diện tương tự như này là đã hoàn thành.
4.2 - REMnux
EMnux® là bộ công cụ Linux chuyên dùng để reverse-engineering và
phân tích mã độc. REMnux cung cấp một bộ sưu tập các công cụ
miễn phí được tuyển chọn do cộng đồng tạo ra. Các nhà phân tích
có thể sử dụng nó để điều tra mã độc mà không cần phải tìm, cài
đặt và định cấu hình các công cụ. Trang chủ https://remnux.org [18]. Phiên bản hiện tại là bản remnux-v7-focal.ova.
Download the general OVA file from Box (primary) [19] or SourceForge (mirror) [20].
Note: OVA (Open Virtual Appliance) - https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.vm_admin.doc/GUID-AE61948B-C2EE-436E-BAFB-3C7209088552.html. [21]
Tải máy ảo hoàn tất tiếp theo là cấu hình guest machine.
5 - Cấu hình Guest machine
Khi đã cài đặt máy ảo xong việc rất quan trong là làm sao cho
môi trường phân tích cần được cách ly, được kiểm soát khi phân
tích mã độc. Trong VMWare cung cấp nhiều lựa chọn cài đặt mạng
và thêm cấu hình riêng ảo để sử dụng cho việc phân tích, mình
chỉ thêm 2 máy ảo trong môi trường lab này, nhưng hoàn toàn có
thể thêm nhiều máy ảo vào mạng này. Thực hiện như sau:
Menu VMware Workstation → Edit → Virtual Network Editor...
Chọn Change Setings... để chỉnh sửa đổi cấu
hình mạng với quyền Admin.
Sau khi có quyền Admin để sửa đổi cấu hình mạng, bạn chọn
vào Add Network... Hộp thoại Add a Virtual Network hiện ra chọn VMnet2 → OK
Lúc này Card VMnet2 đã được thêm, cấu hình mạng cho card này
như sau:
- Chọn Host-only (connect VMs internally in a private network)
- Chọn Use local DHCP service to distribute IP address to VMs:
- Subnet IP 10.0.0.0
- Subnet mask: 255.255.255.255.0
- Click DHCP Settings:
- Starting IP address: 10.0.0.1 (đây sẽ là địa chỉ IP của Guest machine)
- Ending IP address: 10.0.0.254
Như vậy là cấu hình cho Guest Machine hoàn tất, tiếp theo
là cài đặt Tools cho Windows VM và REMnux VM.
6 - Cài đặt Windows VM, Tools và IP tĩnh
6.1 - Cài đặt Windows VM
VMWare Workstation tại chọn
tab Home → Open a Virtual Machine, chọn đường đẫn đến file đã tải về.
Nếu bạn lựa chọn cài đặt từ đầu hãy tham khảo chi tiết trong
tài liệu hướng dẫn của VMware tại đây: https://docs.vmware.com/en/VMware-Workstation-Pro/17/workstation-pro-17-user-guide.pdf
Note: Do bản Windows của mình là bản đã build sẵn như vậy sẽ
giúp tiết kiệm thời gian hơn việc cài đặt từ đầu. Một lưu ý
nữa là khi sử dụng những bản Windows VM build sẵn thì có thể
sẽ xuất hiện lỗi chế độ phân giải, với hiện tượng màn hình
Windows VM chớp nháy và thông báo lỗi xuất hiện ở góc
dưới bên trái của Windows VM: "Display driver failed to start; using Microsoft Basic
Display Driver instead. Check Windows Update for a newer
display driver." Để sửa lỗi này bạn chỉ cần gỡ VMware Tools và cài lại. Sau khi cài đặt lại tiến hành kiểm tra
VMware SVGA 3D trong Computer Management nếu không xuất hiện chấm
than báo thiếu driver VMware SVGA 3D là ok rồi.
6.2 - Cài đặt Tools
Khi quá trình load file Windows VM xong, khởi động vào
Windows VM tiến hành cài đặt các công cụ phục vụ cho quá
trình phân tích.
Mình đề xuất sử dụng 2 bộ công cụ sau đã được tích hợp sẵn thay vì phải tải và cài đặt riêng lẻ:
- retoolkit: https://github.com/mentebinaria/retoolkit [22]
- SysinternalsSuite: https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite [23]
- Một bản phân phối dưa trên Windows rất tốt là flare vm của mandiant https://www.mandiant.com/resources/blog/flare-vm-the-windows-malware [24]
Có một trang chuyên để tải IDA Pro leak, tham khảo tại link: http://fckilfkscwusoopguhi7i6yg3l6tknaz7lrumvlhg5mvtxzxbbxlimid.onion/ (Link oninon) [25]
Ngoài ra mình có liệt kê các tools, có thể vẫn chưa đầy đủ,
bạn có thể tham khảo và tất nhiên hoàn toàn có thể cài đặt
thêm về sau.
6.3 - Đặt IP tĩnh
Menu Control Panel → Network and Internet →
View network status and tasks
Chọn Change adapter settings
Chọn vào card mạng và click chuột xuất hiện hộp thoại Ethernet0 Status → Properties
Chọn Internet Protocol Version 4 (TCP/IPv4)
Hộp thoại Internet Protocol Version 4 (TCP/IPv4) chỉnh IP cho máy như sau:
IP address:
10.0.0.3
Subnet mask:
255.255.255.0
Defaul gateway:
10.0.0.2
DNS: 10.0.0.02
Kiểm tra lại thông tin IP máy ảo bằng lệnh
ipconfig trong cmd
(phím tắt
Window + X → nhập
cmd → Enter)
Sử dụng lệnh
ipconfig để kiểm
tra thông tin:
6.4 - Thiết lập mạng riêng cho Windows VM
Trên Windows 10 Machine → Setting →
Virtual Machine Settings →
Network Adapter → Chọn
Custom: Specific virtual network →
VMnet2 → OK
7 - Cài đặt REMnuxVM, Tools và IP tĩnh
7.1 - Cài đặt REMnux VM
Trong Home của
VMWare Workstation chọn Open a Virtual Machine (Hoặc Menu → File → Open...)
Tiếp theo chọn đến đường dẫn đã lưu file REMnux.
Note: Bạn nên lưu bộ cài đặt REMnux VM và Windows VM khác với phân vùng Windows vật lý
Quá trình load file hoàn toàn tự động phụ thuộc vào cấu hình máy
vật lý, sau khi đã tạo xong máy REMnux, hãy khởi động REMnux VM
thực hiện cài đặt các công cụ và gói sau chạy trong terminal:
- Update các gói cài đặt lên mới nhất
$ sudo apt-get update$ sudo apt-get install python-pip$ pip install --upgrade pip
- Cài đặt các công cụ cần thiết
$ sudo apt-get install python-magic
$ sudo apt-get install upx
$ sudo pip install pefile
$ sudo apt-get install yara
$ sudo pip install yara-python
$ sudo apt-get install ssdeep
$ sudo apt-get install build-essential libffi-dev python python-dev \ libfuzzy-dev
$ sudo pip install ssdeep
$ sudo apt-get install wireshark
$ sudo apt-get install tshark
malwoverview: https://github.com/alexandreborges/malwoverview
7.2 - Đặt IP tĩnh
Sử dụng
$ sudo dhclient -r để
renew địa chỉ IP mới mà không cần phải khởi động lại máy ảo.
REMnux là bản phân phối dựa trên Ubuntu do vậy nó sử dụng tiện
ích netplan để
quản lý và định cấu hình cài đặt mạng bằng dòng lệnh.
Note: Kể từ khi bản 17.10 phát hành thì Netplan chính là một công cụ quản lý mạng mặc định trên Ubuntu thay vì file cấu hình interface tại /etc/network/interface như trước nữa. Netplan được sử dụng cấu hình theo cú pháp YAML và để cấu hình mạng với Netplan bạn cần tạo file cấu hình YAML tương ứng với card mạng mà bạn sử dụng. Netplan hiện tại hỗ trợ 2 trình kết xuất NetworkManager và Systemd-networkd. Trong đó NetworkManage chủ yếu được sử dụng trên máy tính bàn còn Systemd-networkd được sử dụng trên các máy chủ không có GUI.
Đầu tiên hãy xem em nội dung thư mục netplan với lệnh: ls /etc/netplan
Ta được thông tin tên 01-netcfg.yaml
Tiếp theo mở 01-netcfg.yaml
với lệnh: sudo nano /etc/netplan/01-netcfg.yaml
Hãy thay đổi thông tin như sau:
# This file describes the network interfaces available on your system # For more information, see netplan(5). network: version: 2 renderer: networkd ethernets: ens33: dhcp4: yes ens36: addresses: - 10.0.0.2/24
Lưu file lại bằng tổ hợp phím <Ctrl> + X theo sau
là Y và <Enter>
Note: card mạng ethernet ens36 là trên máy của mình, có thể trên máy bạn sẽ khác, dùng $ ip link để biết chính xác tên trên máy của bạn.
Sau khi thực hiện xong kiểm tra lại bằng $ ifconfig -a trong terminal.
Hoặc dùng
$ sudo networkctl status
Note:
- File config là .yaml nên việc khoảng cách sẽ ảnh hưởng tới việc đọc file của hệ thống. Các bạn lưu ý căn chỉnh cứ mỗi khoảng sẽ là 2 phím space.
- Trong 1 số trường hợp, nếu báo lỗi tại phần renderer. Bạn có thể xóa hoặc comment lại config này.
7.3 - Cấu hình Burp Suite
Chạy Burp Suite với quyền root bằng lệnh $ sudo su
Chọn Temporary project
Chọn Use Burp defaults
Giao diện của Burp Suite như sau
Chọn Tab Proxy → Options,
trong trình nghe Proxy Listeners chọn mặc
định và nhấn Edit
Hộp thoại Edit proxy listener xuất
hiện, ta sẽ cấu hình như sau:
- Trong tab Blinding:
- Blinh port: 8080
- Blind to address: Specific address - 10.0.0.2
- Bước quan trọng
Trở lại với Windows VM và mở trình duyệt Edge.
- Gõ vào thanh địa chỉ: http://10.0.0.2:8080. Bạn sẽ thấy “Burp Suite Community Edition”.
- Tải xuống CA Certificate ở phía trên bên phải của trang.
- Mở vị trí của file tải về và nhấp đúp vào tệp certificate để cài đặt.
- Chọn Current User làm vị trí lưu và nhấp vào Next.
- Chọn Automatically select the certificate store based on the type of certificate → Next
Nhấn OK để kết thúc.
- Đi vào cài đặt của Trình duyệt EDGE và tắt tất cả các chức năng bảo mật, điều này sẽ giúp kiểm tra kết nối với INetSim trong phần tiếp theo.
- Hãy chắc chắn rằng bạn chụp ảnh nhanh.
Trở lại máy ảo REMnux. Vẫn ở trong tab trong
Tab Proxy → Options, trong
trình nghe Proxy Listeners chọn mặc
định và nhấn Edit. Hộp
thoại Edit proxy listener xuất hiện, ta
sẽ cấu hình như sau:
Trong tab Blinding
- Blinh port: 443
- Blind to address: Specific address - 10.0.0.2
Trong tab Request handling
- Redirect to host: localhost
- Redirect to port to address: 4443
- Chọn Support for invisible proxying (enable only if needed)
Bây giờ hãy chuyển đến tab Intercept và chuyển nó sang trang thái là Intercept is off
Trong terminal nhập
sudo su để chuyển sang
quyền root, tiếp theo nhập nano /etc/inetsim/inetsim.conf
để mở
inetsim.conf
Để kích hoạt một dịch vụ nào đó ta sẽ bỏ dấu # phía trước. Theo thứ tự sắp xếp ảnh minh họa ở dưới thì bên
trái là ảnh cho thấy các dịch vụ khi chưa được kích hoạt và bên
phải là ảnh đã được kích hoạt dịch vụ (đã bỏ dấu
#).
#dns_default_ip 10.10.10.1 sửa thành dns_default_ip 10.0.0.2 (địa chỉ máy REMnux)
#https_bind_port 80 sửa thành https_bind_port 4443
Lưu file lại bằng tổ hợp phím
<Ctrl> + X theo sau là Y và
<Enter>
Bước tiếp theo là chạy các lệnh RẤT QUAN TRỌNG cần thực thi sau
đây, nếu không INetSim sẽ không hoạt động chính xác. Ubuntu có
dịch vụ hệ thống (system-resolved) được giải quyết bằng hệ thống,
cung cấp khả năng phân giải tên miền cho các ứng dụng cục bộ. Điều
này xung đột với INetSim nên chúng ta cần tắt dịch vụ. Chúng ta
phải tắt tính năng
system-resolve
và cũng che giấu nó để nó không tự động khởi động khi khởi động
lại. Cuối cùng, chúng ta sẽ dừng dịch vụ.
$ sudo systemctl disable systemd-resolved$ sudo systemctl mask systemd-resolved$ sudo systemctl stop systemd-resolved
Kể triểm tra dịch vụ INetSim sử dụng lệnh sau trong
terminal $ sudo inetsim
Trong Windows VM mở
cmd thực hiện
ping 10.0.0.2 và đồng
thời mở trình duyệt bất kỳ nhập vào 10.0.0.2 kết quả như sau:
Như vậy là đã thành công cài đặt INetSim.
7.5 - Thiết lập mạng riêng cho REMnux VM
Tại máy ảo Remnux right click → Settings...Tìm
đến Network Adpater chọn NAT.
Tiếp theo click Add.
Chọn Network Adapter → Finish
Sau khi Finish quay trở lại với Hộp thoại Virtual Machine Settings → Network Adapter 2→ Chọn
Custom: Specific virtual network →
VMnet2 → OK để kết thúc thiết lập card mạng cho
máy REMnux
8 - Test Machine
Đây là bước kiểm tra các máy ảo đã kết nối với nhau chưa cũng
như cần bổ sung các tools.
Trên máy REMnux VM thực hiện
ifconfig để xem lại thông
tin netwok và thực hiện
ping 10.0.0.2 để kiểm tra
kết nối với máy REMnux.
Trên máy REMnux
ping 10.0.0.3 để kiểm tra
kết nối.
Như vậy là đã sẵn sàng. Bước cuối cùng là hãy tạo các snapshots (bản
backup nhanh) của máy ảo tại những thời điểm đã cài đặt mà ta muốn
tạo điểm backup nhằm sẵn sàng khôi phục nhanh về lại thời điểm mong
muốn trong trường hợp như xảy ra sự cố, lỗi hệ thống, ... mà không
cần phải cài đặt lại từ đầu mất nhiều thời gian.
9 - Snapshots
Sau khi đã cài đặt đầy đủ các công cụ hãy nhớ tạo một các ảnh chụp nhanh (snapshots) tại các thời điểm cài đặt (mình snap tại 2 thời điểm đó là lúc
vừa cài đặt xong và lúc đã thiết lập đầy đủ công cụ với cấu hình).
Việc snapshot này quan trọng vì nó cho phép ta có thể trở lại
trạng thái cài đặt khi cần thiết thay vì phải cài đặt từ đầu mất
nhiều thời gian.
Thực hiện snapshot như sau: Tab REMnux VM hoặc
Windows VM → Snapshot → Take a snapshots...
10 - Phần kết luận
Việc thiết lập và cấu hình môi trường phòng thí nghiệm sẽ khác
nhau trong quá trình phân tích mã độc. Khi phân tích mã độc, bạn
cần các công cụ khác nhau để mổ xẻ và phân tích sâu. Hy vọng các
công cụ và cấu hình trong thiết lập này sẽ hỗ trợ, nhưng có thể
đôi khi bạn cần phân tích thứ gì đó khác, chẳng hạn như tệp .NET
và có thể cần một công cụ bổ sung để phân tách hoàn toàn tệp nhị
phân. Hành trình reverse malware là một cuộc chạy marathon chứ
không phải chạy nước rút. Mục tiêu là phát triển kỹ năng của bạn
và học hỏi từ mọi mã độc được phân tích.
11 - Tham khảo
- https://vulnresearch.hashnode.dev/the-groundwork-a-guide-to-setting-up-your-malware-analysis-lab [28]
- Book Learning Malware Analysis - (Chapter 1 - 5. Setting Up The Lab Environment).
12 - Backup