Analise de Malware em Lab Isolado: Setup Seguro com FlareVM e Remnux

Voce baixou uma amostra suspeita de um phishing real, descompactou ela no seu desktop e percebeu tarde demais que o Defender ja mandou o hash pro MAPS. Parabens, voce acabou de queimar IOC, contaminar telemetria e talvez avisar o adversario. Antes de tocar em qualquer binario com extensao .exe, .iso ou .lnk, voce precisa de um laboratorio isolado, reproduzivel e descartavel. A combinacao FlareVM (Windows, ofensiva e analise) e REMnux (Linux, ferramentas defensivas e network) virou padrao de facto desde 2020, e nesta pratica vamos montar a coisa do zero com VirtualBox 7.1, snapshots versionados e rede host-only sem gateway.

Comece pelo hipervisor. VirtualBox 7.1 ou VMware Workstation 17 ambos funcionam, mas evite KVM se voce ainda nao domina libvirt + vlans, porque a chance de configurar errado a bridge e expor a amostra na LAN domestica e alta. Crie duas VMs: uma Windows 10 22H2 (nao 11, alguns implants checam build) com 4 vCPU, 8 GB RAM, disco dinamico de 80 GB, e uma Ubuntu 22.04 que sera convertida em REMnux. Desative qualquer integracao com host: pastas compartilhadas, clipboard, drag-and-drop, USB passthrough. Use rede host-only sem DHCP, atribua manualmente 10.66.66.10 (FlareVM) e 10.66.66.20 (REMnux). Se voce vem do mundo web, ja deve ter feito isso em Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite e vai se sentir em casa.

Instalacao do FlareVM exige Windows recem instalado, fora de dominio, sem updates pendentes e com Defender temporariamente desligado via politica local. O instalador do Mandiant (script PowerShell `install.ps1` do repo FLARE-VM) baixa dezenas de pacotes Chocolatey: x64dbg, IDA Free, Ghidra, dnSpy, PE-bear, Detect It Easy, FLOSS, CAPA, pestudio. Reserve umas 2 horas e 30 GB de download. Quando terminar, tire o snapshot 'Clean-FlareVM-Base' antes de qualquer execucao. Esse snapshot e seu rollback sagrado: cada amostra detonada volta pra ele. Documente versao de cada ferramenta num markdown versionado, porque CAPA 7.x e CAPA 8.x produzem outputs incompativeis.

REMnux entra como tap passivo e servidor de servicos fake. Em vez de instalar do zero, baixe o appliance OVA oficial do Lenny Zeltser, importe, e na primeira boot rode `remnux update` e `remnux upgrade`. Configure INetSim no `/etc/inetsim/inetsim.conf` apontando para 10.66.66.20, ativando servicos HTTP, HTTPS, DNS, SMTP, IRC e FTP. Na FlareVM, aponte o gateway e DNS para 10.66.66.20. Resultado: qualquer C2 que o malware tente alcancar cai no INetSim, que responde com binarios fake e loga tudo. Isso te da o mesmo tipo de visibilidade que voce conseguiria com Burp em Pentest de APIs REST e GraphQL: Checklist Tecnico para Bug Bounty Legal, mas no nivel de pacote bruto.

Captura de trafego e o segundo pilar. Suba Wireshark na REMnux em modo promiscuo na host-only, e tcpdump em paralelo gravando PCAPs rotacionados de 100 MB. Combine com Suricata em modo IDS rodando rules ET Open e Emerging Threats Pro se voce tiver licenca de pesquisa. Para amostras que falam TLS, configure MITMproxy com cert root injetado no Windows como confiavel - sim, isso quebra pinning, mas a maioria dos commodity stealers (Redline, Vidar, Lumma) nao implementa pinning. Stuff mais serio tipo Cobalt Strike beacon ou Sliver implant exige unhooking; cobrimos a teoria do unhooking em Evasao de EDR para Pesquisa: Direct Syscalls Explicados sem Romantizacao e a contraparte de C2 em Construindo Infra de C2 com Sliver em Lab Isolado para Estudo Defensivo.

Workflow de detonacao: copie a amostra via shared folder somente leitura DESABILITADA - use scp da REMnux pra FlareVM por SSH temporario, depois mate o servico. Calcule SHA256 com `Get-FileHash`, registre na sua planilha junto com fonte, data, hipotese inicial. Rode FLOSS pra extrair strings ofuscadas, CAPA pra mapear capabilities pro MITRE ATT&CK, e Detect It Easy pra identificar packer. Se for UPX, descompacte com `upx -d`. Se for custom packer, vai precisar de x64dbg com ScyllaHide e dump na OEP - mesma logica que defensores usam em Memory Forensics com Volatility 3: Analisando Dumps em Lab Reproduzivel mas no sentido inverso. Procmon e Process Hacker rodando em background capturam IOCs de filesystem e registry.

Higiene operacional e o que separa pesquisador serio de amador que vai virar paciente zero. Nunca, jamais, conecte a VM de analise na sua LAN real. Nunca logue em conta pessoal dentro dela. Trate cada hash como potencialmente vinculado a um ator que tem capacidade de retaliar - principios que detalhamos em OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal e Compartimentacao Digital: Identidades Separadas sem Vazar Metadados. Submissoes pro VirusTotal sao publicas: assuma que o adversario monitora hashes proprios. Use Malware Bazaar pra coletar, Triage ou Any.Run pra detonar publicamente quando OPSEC permitir, e mantenha amostras criptografadas em VeraCrypt offline.

Takeaway pratico: gaste seu primeiro fim de semana so montando o lab e batendo amostras conhecidas do Malware Bazaar (categoria 'Emotet' ou 'AgentTesla' funcionam bem como treino). Antes de rodar amostra real de cliente, faca tres rodadas de detonacao, rollback de snapshot, e validacao de que o INetSim capturou trafego como esperado. Se voce nao consegue reproduzir o mesmo resultado duas vezes seguidas, seu lab nao esta pronto - e voce vai contaminar a investigacao. Reproducibilidade vence velocidade toda vez.