Malware-Analyse im Isolierten Lab: Sicheres Setup mit FlareVM und REMnux

Du hast ein verdaechtiges Sample aus einer echten Phishing-Kampagne gezogen, auf dem Desktop entpackt und zu spaet gemerkt, dass Defender den Hash bereits an MAPS geschickt hat. Glueckwunsch, du hast gerade einen IOC verbrannt, Telemetrie kontaminiert und vielleicht den Gegner gewarnt. Bevor du irgendeine Binary mit Endung .exe, .iso oder .lnk anfasst, brauchst du ein isoliertes, reproduzierbares und wegwerfbares Labor. Die Kombination FlareVM (Windows, Offensive und Analyse) plus REMnux (Linux, defensive Tools und Netzwerk) ist seit 2020 De-facto-Standard. In dieser Anleitung bauen wir das Setup von Grund auf mit VirtualBox 7.1, versionierten Snapshots und einem host-only Netzwerk ohne Gateway.

Beginn beim Hypervisor. VirtualBox 7.1 oder VMware Workstation 17 funktionieren beide; meide KVM, solange du libvirt und VLANs nicht im Griff hast, denn die Wahrscheinlichkeit, eine Bridge falsch zu konfigurieren und das Sample im Heim-LAN auszusetzen, ist real. Erstelle zwei VMs: ein Windows 10 22H2 (nicht 11, manche Implants checken den Build) mit 4 vCPU, 8 GB RAM, 80 GB dynamische Disk, und ein Ubuntu 22.04, das zu REMnux wird. Deaktiviere jede Host-Integration: Shared Folders, Clipboard, Drag-and-Drop, USB-Passthrough. Nutze host-only Netzwerk ohne DHCP, vergib 10.66.66.10 und 10.66.66.20 manuell. Wer aus der Web-Welt kommt, kennt das aus Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen.

FlareVM-Installation verlangt frisch installiertes Windows, nicht in Domaene, ohne ausstehende Updates, mit Defender temporaer per Local Policy deaktiviert. Mandiants Installer (das `install.ps1`-Skript aus dem FLARE-VM-Repo) zieht dutzende Chocolatey-Pakete: x64dbg, IDA Free, Ghidra, dnSpy, PE-bear, Detect It Easy, FLOSS, CAPA, pestudio. Plane zwei Stunden und 30 GB Download. Sobald fertig, mach den Snapshot 'Clean-FlareVM-Base' vor jeder Ausfuehrung. Dieser Snapshot ist dein heiliger Rollback: jedes detonierte Sample kehrt dorthin zurueck. Dokumentiere jede Toolversion in einem versionierten Markdown, weil CAPA 7.x und 8.x inkompatible Outputs erzeugen.

REMnux fungiert als passiver Tap und Fake-Service-Server. Statt von Null zu installieren, lad die offizielle OVA-Appliance von Lenny Zeltser, importiere sie, und beim ersten Boot fuehre `remnux update` und `remnux upgrade` aus. Konfiguriere INetSim in `/etc/inetsim/inetsim.conf` auf Bind 10.66.66.20 mit HTTP, HTTPS, DNS, SMTP, IRC und FTP aktiv. Auf der FlareVM-Seite zeigen Gateway und DNS auf 10.66.66.20. Ergebnis: jeder C2, den die Malware erreichen will, landet in INetSim, das mit Fake-Binaries antwortet und alles loggt. Du bekommst dieselbe Sichtbarkeit wie mit Burp in Pentest von REST und GraphQL APIs: Technische Checkliste fur legales Bug Bounty, aber auf Rohpaket-Ebene.

Traffic-Capture ist die zweite Saeule. Starte Wireshark auf REMnux im Promiscuous-Mode am host-only Adapter, plus tcpdump parallel mit 100-MB-rotierten PCAPs. Lege Suricata als IDS drueber, mit ET-Open-Regeln und Emerging Threats Pro bei Forschungslizenz. Fuer Samples, die TLS sprechen, baue MITMproxy mit Root-Cert in den Windows-Trust-Store. Ja, das bricht Pinning, aber die meisten Commodity-Stealer (Redline, Vidar, Lumma) implementieren keins. Schwereres Geraet wie Cobalt Strike Beacon oder Sliver Implant erfordert Unhooking; die Theorie haben wir in EDR-Umgehung fur Forschung: Direct Syscalls Erklart ohne Romantik behandelt, die C2-Gegenseite in C2-Infra mit Sliver im Isolierten Lab fur Defensive Forschung Aufbauen.

Detonations-Workflow: kopiere das Sample mit DEAKTIVIERTEN Shared Folders. Nutze scp von REMnux zur FlareVM ueber einen temporaeren SSH-Dienst, dann kill den Service. Berechne SHA256 mit `Get-FileHash`, trag ihn in dein Sheet mit Quelle, Datum und Anfangshypothese ein. Lass FLOSS obfuskierte Strings extrahieren, CAPA Capabilities auf MITRE ATT&CK mappen, Detect It Easy den Packer fingerprinten. UPX? `upx -d`. Custom Packer? x64dbg mit ScyllaHide, Dump am OEP, dieselbe Logik wie Defender in Memory Forensics mit Volatility 3: Dumps im Reproduzierbaren Lab Analysieren benutzen, aber invertiert. Procmon und Process Hacker im Hintergrund fangen Filesystem- und Registry-IOCs in Echtzeit ein.

Operative Hygiene trennt den ernsthaften Forscher vom Amateur, der Patient Null wird. Verbinde die Analyse-VM niemals mit deinem echten LAN. Logge dich darin niemals in einen persoenlichen Account ein. Behandle jeden Hash als potenziell mit einem Akteur verbunden, der zu Vergeltung faehig ist, Prinzipien aus OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell und Digitale Kompartimentierung: Getrennte Identitaeten ohne Metadaten zu lecken. VirusTotal-Submissions sind oeffentlich: nimm an, der Gegner ueberwacht seine eigenen Hashes. Nutze Malware Bazaar zum Sammeln, Triage oder Any.Run fuer oeffentliche Detonation wenn OPSEC erlaubt, und halte Samples in offline VeraCrypt-Containern verschluesselt.

Praktischer Takeaway: investiere dein erstes Wochenende ausschliesslich in den Lab-Aufbau und das Durchpruegeln bekannter Samples vom Malware Bazaar (die Tags 'Emotet' oder 'AgentTesla' sind gute Stuetzraeder). Bevor du ein echtes Kundensample faehrst, mach drei Runden Detonation, Snapshot-Rollback und Verifikation, dass INetSim den Traffic so eingefangen hat wie erwartet. Wenn du dasselbe Ergebnis nicht zweimal hintereinander reproduzieren kannst, ist dein Lab nicht bereit, und du wirst die Untersuchung kontaminieren. Reproduzierbarkeit schlaegt Geschwindigkeit jedes Mal.