Malware Analysis Sandbox Lab (FLARE VM)
Viruses တွေ၊ Ransomware တွေကို ဘေးကင်းကင်းနဲ့ ဖောက်ခွဲစမ်းသပ်ဖို့ တည်ဆောက်ထားတဲ့ Isolated Virtual Lab Environment။
View Live Projectလုံခြုံရေးအင်ဂျင်နီယာ (SOC Analyst) တစ်ယောက်အနေနဲ့ နေ့စဉ် ထွက်ပေါ်နေတဲ့ ဗိုင်းရပ်စ်အသစ်တွေ (ဥပမာ- LockBit Ransomware) ကို အင်တာနက်မရှိတဲ့၊ အပြင်ကွန်ပျူတာကို မကူးစက်နိုင်တဲ့ "Sandbox" ထဲမှာ ထည့်ပြီး ခွဲစိတ်လေ့လာ (Reverse Engineering) ဖို့ လိုအပ်ပါတယ်။
Lab Setup Process:
၁။ Virtualization: Proxmox/VMware ပေါ်မှာ Windows 10 VM တစ်ခုကို Host OS ကနေ သီးသန့်ခွဲ (Isolate) ပြီး ဆောက်ထားပါတယ်။ Network Card ကို လုံးဝ ဖြုတ်ချထားပါတယ်။
၂။ FLARE VM Installation: Mandiant ကနေထုတ်ထားတဲ့ FLARE VM Script ကိုသွင်းပြီး၊ သာမန် Windows အစား Reverse Engineer လုပ်ဖို့ လိုအပ်တဲ့ Tools တွေအကုန် (Ghidra, x64dbg, Wireshark, Process Hacker) ပါတဲ့ စက်ကြီးတစ်ခုအဖြစ် ပြောင်းလဲလိုက်ပါတယ်။
၃။ Fake Network (INetSim): Malware အများစုက အင်တာနက် မရှိရင် အလုပ်မလုပ်ပါဘူး။ ဒါကြောင့် INetSim သုံးပြီး Local ထဲမှာတင် DNS တွေ HTTP သွားသမျှကို Fake DNS ပြန်ချပေးပြီး အင်တာနက်ရှိသယောင် ဟန်ဆောင်ထားပါတယ်။ (Malware တွေ C2 ဆီ သွားမယ့် Traffic ကို ကြိုဖမ်းဖို့ပါ)
Testing Workflow:
Ransomware တစ်ကောင်ကို VM ထဲ run လိုက်တဲ့အခါ-
- Process Monitor (ProcMon): Registry တွေ၊ ဖိုင်တွေကို ဘယ်လို လိုက်ဖျက်ဆီး (Encrypt) သွားလဲဆိုတာ လေ့လာတယ်။
- Wireshark: သူ ဘယ် IP (C2 Server) ဆီကို သွားပြီး Encryption Keys တွေ တောင်းနေလဲဆိုတာ ကြည့်ပါတယ်။
- ပြီးတာနဲ့ Snapshot လေးရိုက်ပြီး စက်ကို အကောင်းတိုင်း ပြန်ဆုတ်လိုက်ပါတယ်။ (Clean Revert)
ဒီ Lab လေး တည်ဆောက်ထားတာက Blue Teaming (ကာကွယ်ရေး) ဘက်မှာ Malware IOCs တွေ စုဆောင်းဖို့အတွက် အများကြီး အထောက်အကူ ဖြစ်စေပါတယ်။
%20Server-1-1.webp)
