malboxes - يبني تحليل البرمجيات الخبيثة ويندوز VMs حتى لا تضطر إلى

يبني تحليل البرمجيات الخبيثة Windows الأجهزة الظاهرية بحيث لا تضطر إلى ذلك.

المتطلبات

• بيثون 3.3+
• باكر: https://www.packer.io/docs/install/index.html
• المتشرد: https://www.vagrantup.com/downloads.html
• فيرتثلبوإكس أو خادم vSphere / ESXi

الحد الأدنى من المواصفات لآلة البناء

• ما لا يقل عن 5 غيغابايت من ذاكرة الوصول العشوائي
• ملحقات VT-X يوصى بشدة

فيدورا

dnf install ruby-devel gcc-c++ zlib-devel
 vagrant plugin install winrm winrm-fs

ديبيان

apt install vagrant git python3-pip

التركيب

لينكس / يونكس

• تثبيت بوابة ، متشرد وباكر باستخدام أداة التعبئة والتغليف التوزيع الخاص بك (يسمى باكر أحيانا باكر- إيو)
• pip install malboxes:
  

  sudo pip3 install git+https://github.com/GoSecure/malboxes.git#egg=malboxes

شبابيك

ملحوظة

يبدأ تشغيل Windows 10 Hyper-V دائمًا تحت نظام التشغيل. بما أن VT-X يحتاج إلى أن يتم تشغيله حصريًا بواسطة Hypervisor واحد فقط ، فإن ذلك يؤدي إلى فشل VirtualBox (و malboxes) . لتعطيل Hyper-V والسماح لـ VirtualBox بالتشغيل ، قم بإصدار الأمر التالي في موجه أوامر إداري ثم أعد التشغيل:bcdedit /set hypervisorlaunchtype off

باستخدام الشوكولاتة

تفترض الخطوات التالية أنك قمت بتثبيت Chocolatey . خلاف ذلك ، اتبع إجراء التثبيت اليدوي .

• تثبيت الاعتماديات:
  

  choco install python vagrant packer git virtualbox

• تحديث وحدة التحكم
  

  refreshenv

• تثبيت صناديق البريد:
  

  pip3 install setuptools
   pip3 install -U git+https://github.com/GoSecure/malboxes.git#egg=malboxes

يدويا

• قم بتثبيت VirtualBox و Vagrant و git
• قم بتثبيت Packer ، قم بإسقاط الملف الثنائي للحزم في مجلد في PATH للمستخدم الخاص بكC:\Windows\System32\
• تثبيت Python 3 (تأكد من إضافة Python إلى متغيرات البيئة الخاصة بك)
• افتح وحدة التحكم (Windows-Key + cmd)
  

  pip3 install setuptools
   pip3 install -U git+https://github.com/GoSecure/malboxes.git#egg=malboxes

استعمال

إنشاء مربع

يؤدي هذا إلى إنشاء مربع الأساس الخاص بك الذي تم استيراده في Vagrant. بعد ذلك يمكنك إعادة استخدام نفس المربع عدة مرات في كل تحليل للعينة.

يركض:

malboxes build <template>

يمكنك أيضًا إدراج جميع النماذج المدعومة باستخدام:

malboxes list

سيؤدي ذلك إلى إنشاء مربع Vagrant جاهزًا للتحقيق في البرامج الضارة يمكنك الآن تضمينه في Vagrantfile بعد ذلك.

فمثلا:

malboxes build win10_64_analyst

يحتوي قسم التكوين على مزيد من المعلومات حول ما يمكن تهيئته مع صناديق البريد.

لكل تحليل الحالات

malboxes spin win10_64_analyst <name>

سيؤدي هذا إلى Vagrantfileإعداد استعداد لاستخدامه في تحليل البرامج الضارة. نقله إلى دليل من اختيارك وإصداره:

vagrant up

بشكل افتراضي ، ستتم مشاركة الدليل المحلي في VM على سطح المكتب. يمكن تغيير ذلك عن طريق التعليق على الجزء ذي الصلة من Vagrantfile.

فمثلا:

malboxes spin win7_32_analyst 20160519.cryptolocker.xyz

ترتيب

يقع تكوين صناديق البريد في دليل يتبع معاهدات نظام التشغيل المعتادة:

• لينكس / يونكس: ~/.config/malboxes/
• نظام التشغيل Mac OS X: ~/Library/Application Support/malboxes/
• فوز 7+: C:\Users\<username>\AppData\Local\malboxes\malboxes\

يدعى الملف ويتم config.jsنسخه من ملف مثال في أول تشغيل. تكوين المثال موثق.

دعم ESXi / vSphere

يستخدم برنامج Malboxes virtualbox كطرف خلفي افتراضيًا ولكن منذ أن تم إضافة دعم الإصدار 0.3.0 لـ ESXi / vSphere. تتوفر ملاحظات حول الخطوات المطلوبة لدعم ESXi / vSphere . نظرًا لأن إعداد الجميع مختلف قليلاً ، فلا تتردد في فتح مشكلة إذا واجهتك مشكلة أو قمت بتحسين مستنداتنا عبر طلب سحب. 

مظهر

نحن نستكشف مع مفهوم ملفات التعريف التي يتم تخزينها بشكل منفصل عن التكوين ويمكن استخدامها لإنشاء ملفات أو تغيير السجل أو تثبيت حزم إضافية. انظر profile-example.js لتكوين مثال. هذه القدرة الجديدة تجريبية وخاضعة للتغيير ونحن نجربها.

معلومات اكثر

فيديو

مشاركات المدونة

• مقالة مدونة تمهيدية: http://gosecure.net/2017/02/16/introducing-malboxes-a-tool-to-build-malware-analysis-virtual-machines/

العروض

وقدم malboxes في NorthSec 2016 في حديث بعنوان تطبيق مبادئ DevOps لأفضل البرامج الضارة تحليل قدمها أوليفييه Bilodeau و هوغو Genesse

• العروض التقديمية (HTML ، أفضل)
• شرائح (PDF ، متدهورة)
•  فيديو

تنزيل صناديق البريد