Analisis de Malware en Lab Aislado: Setup Seguro con FlareVM y REMnux

Descargaste una muestra sospechosa de un phishing real, la descomprimiste en tu escritorio y notaste tarde que Defender ya envio el hash al MAPS de Microsoft. Felicidades, acabas de quemar IOC, contaminar telemetria y posiblemente alertar al adversario. Antes de tocar cualquier binario con extension .exe, .iso o .lnk, necesitas un laboratorio aislado, reproducible y desechable. La combinacion FlareVM (Windows, ofensiva y analisis) y REMnux (Linux, herramientas defensivas y de red) se volvio estandar de facto desde 2020, y en esta practica montamos el setup completo con VirtualBox 7.1, snapshots versionados y red host-only sin gateway.

Empieza por el hipervisor. VirtualBox 7.1 o VMware Workstation 17 funcionan ambos, pero evita KVM si todavia no dominas libvirt y vlans, porque la probabilidad de configurar mal el bridge y exponer la muestra en la LAN domestica es alta. Crea dos VMs: una Windows 10 22H2 (no 11, algunos implants chequean build) con 4 vCPU, 8 GB RAM, disco dinamico de 80 GB, y una Ubuntu 22.04 que se convertira en REMnux. Desactiva cualquier integracion con host: carpetas compartidas, clipboard, drag-and-drop, USB passthrough. Usa red host-only sin DHCP, asigna manualmente 10.66.66.10 y 10.66.66.20. Si vienes del mundo web, ya hiciste algo similar en Pentest Web desde Cero: Montando un Lab Seguro con DVWA, Juice Shop y Burp Suite.

La instalacion de FlareVM exige Windows recien instalado, fuera de dominio, sin updates pendientes y con Defender temporalmente desactivado via politica local. El instalador de Mandiant (script PowerShell `install.ps1` del repo FLARE-VM) descarga decenas de paquetes Chocolatey: x64dbg, IDA Free, Ghidra, dnSpy, PE-bear, Detect It Easy, FLOSS, CAPA, pestudio. Reserva unas 2 horas y 30 GB de descarga. Cuando termine, toma el snapshot 'Clean-FlareVM-Base' antes de cualquier ejecucion. Ese snapshot es tu rollback sagrado: cada muestra detonada vuelve a el. Documenta la version de cada herramienta en un markdown versionado, porque CAPA 7.x y CAPA 8.x producen outputs incompatibles.

REMnux entra como tap pasivo y servidor de servicios fake. En vez de instalar desde cero, descarga el appliance OVA oficial de Lenny Zeltser, importalo, y en el primer arranque ejecuta `remnux update` y `remnux upgrade`. Configura INetSim en `/etc/inetsim/inetsim.conf` apuntando a 10.66.66.20, activando HTTP, HTTPS, DNS, SMTP, IRC y FTP. En FlareVM, apunta gateway y DNS a 10.66.66.20. Resultado: cualquier C2 que el malware intente alcanzar cae en INetSim, que responde con binarios fake y loguea todo. Esto te da la misma visibilidad que conseguirias con Burp en Pentest de APIs REST y GraphQL: Checklist Tecnico para Bug Bounty Legal, pero a nivel de paquete crudo.

Captura de trafico es el segundo pilar. Lanza Wireshark en REMnux en modo promiscuo sobre la host-only, y tcpdump en paralelo grabando PCAPs rotados de 100 MB. Combina con Suricata en modo IDS corriendo rules ET Open y Emerging Threats Pro si tienes licencia de investigacion. Para muestras que hablan TLS, configura MITMproxy con cert root inyectado en Windows como confiable: si, esto rompe pinning, pero la mayoria de commodity stealers (Redline, Vidar, Lumma) no implementa pinning. Cosa mas seria como Cobalt Strike beacon o Sliver implant exige unhooking; cubrimos la teoria en Evasion de EDR para Investigacion: Direct Syscalls Explicados sin Romantizar y la contraparte de C2 en Construyendo Infra de C2 con Sliver en Lab Aislado para Estudio Defensivo.

Workflow de detonacion: copia la muestra via shared folder DESHABILITADA - usa scp desde REMnux a FlareVM por SSH temporal, despues mata el servicio. Calcula SHA256 con `Get-FileHash`, registralo en tu planilla junto con fuente, fecha e hipotesis inicial. Ejecuta FLOSS para extraer strings ofuscadas, CAPA para mapear capabilities a MITRE ATT&CK, y Detect It Easy para identificar packer. Si es UPX, desempaca con `upx -d`. Si es packer custom, necesitaras x64dbg con ScyllaHide y dump en la OEP, misma logica que defensores usan en Memory Forensics con Volatility 3: Analizando Dumps en Lab Reproducible pero en sentido inverso. Procmon y Process Hacker en background capturan IOCs de filesystem y registro.

La higiene operacional separa al investigador serio del aficionado que termina siendo paciente cero. Nunca conectes la VM de analisis a tu LAN real. Nunca inicies sesion en cuenta personal adentro. Trata cada hash como potencialmente vinculado a un actor con capacidad de represalia, principios que detallamos en OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal y Compartimentacion Digital: Identidades Separadas sin Filtrar Metadatos. Las submissions a VirusTotal son publicas: asume que el adversario monitorea sus propios hashes. Usa Malware Bazaar para coleccionar, Triage o Any.Run para detonar publicamente cuando OPSEC lo permita, y manten las muestras cifradas en VeraCrypt offline.

Takeaway practico: invierte tu primer fin de semana solo armando el lab y machacando muestras conocidas de Malware Bazaar (categorias 'Emotet' o 'AgentTesla' funcionan bien como entrenamiento). Antes de correr muestra real de cliente, haz tres rondas de detonacion, rollback de snapshot, y validacion de que INetSim capturo el trafico como esperabas. Si no consigues reproducir el mismo resultado dos veces seguidas, tu lab no esta listo y vas a contaminar la investigacion. Reproducibilidad le gana a velocidad cada vez.