Analyse de Malware en Lab Isole: Setup Securise avec FlareVM et REMnux

Vous avez recupere un echantillon suspect d'une campagne de phishing reelle, vous l'avez decompresse sur votre bureau, et vous avez realise trop tard que Defender avait deja envoye le hash a MAPS. Felicitations, vous venez de bruler un IOC, polluer la telemetrie et peut-etre alerter l'adversaire. Avant de toucher a tout binaire avec une extension .exe, .iso ou .lnk, il vous faut un laboratoire isole, reproductible et jetable. La combinaison FlareVM (Windows, offensive et analyse) plus REMnux (Linux, outils defensifs et reseau) est devenue le standard de facto depuis 2020. Dans ce guide nous le construisons de zero sur VirtualBox 7.1, avec snapshots versionnes et un reseau host-only sans gateway.

Commencez par l'hyperviseur. VirtualBox 7.1 ou VMware Workstation 17 marchent tous les deux; evitez KVM tant que vous ne maitrisez pas libvirt et les vlans, parce que les chances de mal configurer un bridge et d'exposer votre echantillon sur le LAN domestique sont reelles. Creez deux VMs: une Windows 10 22H2 (pas 11, certains implants verifient le build) avec 4 vCPU, 8 Go de RAM, disque dynamique de 80 Go, et une Ubuntu 22.04 qui deviendra REMnux. Desactivez chaque integration hote: dossiers partages, presse-papier, drag-and-drop, USB passthrough. Utilisez un reseau host-only sans DHCP, assignez 10.66.66.10 et 10.66.66.20 a la main. Si vous venez du web, vous avez deja fait ca dans Pentest Web depuis Zero: Construire un Lab Sur avec DVWA, Juice Shop et Burp Suite.

L'installation de FlareVM exige un Windows fraichement installe, hors domaine, sans updates en attente, avec Defender temporairement desactive via politique locale. L'installeur Mandiant (script PowerShell `install.ps1` du repo FLARE-VM) telecharge des dizaines de paquets Chocolatey: x64dbg, IDA Free, Ghidra, dnSpy, PE-bear, Detect It Easy, FLOSS, CAPA, pestudio. Comptez deux heures et 30 Go de telechargement. Une fois fini, prenez le snapshot 'Clean-FlareVM-Base' avant toute execution. Ce snapshot est votre rollback sacre: chaque echantillon detone y revient. Documentez la version de chaque outil dans un markdown versionne, parce que CAPA 7.x et 8.x produisent des sorties incompatibles.

REMnux sert de tap passif et de serveur de services fake. Au lieu d'installer de zero, prenez l'appliance OVA officielle de Lenny Zeltser, importez-la, et au premier boot lancez `remnux update` puis `remnux upgrade`. Configurez INetSim dans `/etc/inetsim/inetsim.conf` pour ecouter sur 10.66.66.20, en activant HTTP, HTTPS, DNS, SMTP, IRC et FTP. Cote FlareVM, pointez gateway et DNS sur 10.66.66.20. Resultat: tout C2 que le malware essaie de joindre tombe dans INetSim, qui repond avec des binaires fake et logge tout. Ca vous donne la meme visibilite qu'avec Burp dans Pentest APIs REST et GraphQL : Checklist Technique pour Bug Bounty Legal, mais au niveau du paquet brut.

La capture de trafic est le second pilier. Lancez Wireshark sur REMnux en mode promiscuous sur le host-only, plus tcpdump en parallele ecrivant des PCAPs rotates de 100 Mo. Empilez Suricata en IDS avec les regles ET Open et Emerging Threats Pro si vous avez une licence recherche. Pour les echantillons qui parlent TLS, montez MITMproxy avec un cert racine pousse dans le store de confiance Windows. Oui, ca casse le pinning, mais la majorite des commodity stealers (Redline, Vidar, Lumma) ne l'implementent pas. Les choses plus serieuses comme Cobalt Strike beacon ou Sliver implant exigent du unhooking; on a couvert la theorie dans Evasion EDR pour la Recherche: Direct Syscalls Expliques sans Romance et la contrepartie C2 dans Construire une Infra C2 avec Sliver en Lab Isole pour la Recherche Defensive.

Workflow de detonation: copiez l'echantillon avec dossiers partages DESACTIVES. Utilisez scp depuis REMnux vers FlareVM via un SSH temporaire, puis tuez le service. Calculez le SHA256 avec `Get-FileHash`, enregistrez-le dans votre tableau avec source, date et hypothese initiale. Lancez FLOSS pour extraire les chaines obfusquees, CAPA pour mapper les capabilites sur MITRE ATT&CK, et Detect It Easy pour identifier le packer. UPX? `upx -d`. Packer custom? x64dbg avec ScyllaHide, dump a l'OEP, meme logique que les defenseurs utilisent dans Memory Forensics avec Volatility 3 : Analyser des Dumps en Lab Reproductible mais en sens inverse. Procmon et Process Hacker en arriere-plan capturent les IOCs filesystem et registry en temps reel.

L'hygiene operationnelle separe le chercheur serieux de l'amateur qui devient patient zero. Ne branchez jamais la VM d'analyse sur votre LAN reel. Ne vous connectez jamais a un compte personnel dedans. Traitez chaque hash comme potentiellement lie a un acteur capable de represailles, principes detailles dans OPSEC pour Chercheurs en Securite: Modele de Menace Personnel et Compartimentation Numerique: Identites Separees sans Fuiter de Metadonnees. Les soumissions VirusTotal sont publiques: supposez que l'adversaire surveille ses propres hashes. Utilisez Malware Bazaar pour collecter, Triage ou Any.Run pour detoner publiquement quand l'OPSEC le permet, et gardez les echantillons chiffres dans des conteneurs VeraCrypt offline.

Conseil pratique: passez votre premier week-end juste a monter le lab et a poncer des echantillons connus de Malware Bazaar (les tags 'Emotet' ou 'AgentTesla' font de bonnes roulettes d'entrainement). Avant de lancer un echantillon reel client, faites trois cycles de detonation, rollback de snapshot, et verification qu'INetSim a capture le trafic comme prevu. Si vous n'arrivez pas a reproduire le meme resultat deux fois de suite, votre lab n'est pas pret, et vous allez contaminer l'investigation. La reproductibilite bat la vitesse a chaque fois.