setodaNote

忘れる用のメモ書き for Cybersecurity

FLARE VM を使って Windows10 に解析環境を構築する

🔧解析環境構築

FLARE VM を使って解析環境を作ったときのメモ。

FLARE VM とは

FLARE VM は、FireEye が2017年7月から無償提供している Windows の解析環境構築ツールです。 主にマルウェア解析向けの各種ツールを備えた解析環境を自動で構築してくれます。

特徴:

  • 数回のコマンド入力だけでマルウェア解析向けの環境を自動構築できます(Boxstarter を利用)
  • 解析環境には FireEye の FLARE チームによって厳選されたツール一式が導入されています
  • あとから自分好みのツールをパッケージ管理(Chocolatey)から追加することもできます

FLARE VM のデスクトップ

Chocolatey を介さずツールをインストールすることもできますが、 Chocolatey を介して導入すると最新版へのアップデートが容易になります。 Linux の apt や yum のようなイメージです。

今回はじめて Boxstarter、Chocolatey というものを認識しました。Windows の環境セットアップもこんな風に自動化できるんですね。

FLARE VM を導入する

まず仮想マシンを作成します。FLARE VM は仮想環境上に構築することを前提としており、必須要件は以下の通りです。

  • Windows 7 SP1 以降のOSを搭載した仮想マシン
  • 40GB 以上のディスク空き容量

以降の操作は仮想マシン上で実施します。

Microsoft Defender Antivirus を無効化する

FLARE-VM では Microsoft Defender の無効化を試みていますが、比較的に新しい Windows 10 ではコマンドベースの方法だとうまくいきません。 手動で無効化しておくことで後でツール等が削除されずに済みます。

単純に設定から無効化にするだけでは再起動時に有効に戻ってしまいます。 以下に無効化の手順を記載していますので適宜、ご参照ください。

soji256.hatenablog.jp

インストール手順

github から flare-vm のインストールスクリプトを入手します。 *1

なお、公開当初に提供されていたWebインストーラー方式は廃止となっています*2

次に PowerShell を管理者権限で実行し、以下の通り入力してスクリプトの実行を可能にします。

Set-ExecutionPolicy Unrestricted

インストールスクリプトを実行します。 途中で自動ログインのためにログインパスワードの入力が求められます。

 .\install.ps1

これ以降は自動で進むので完了するまで待ちます。

ログを眺めているといくつか失敗しているような気もしましたが、細かいことはいいんだよの精神で気長に待ちました。 環境にもよりますが完了までには 概ね数時間かかります。寝て待ちましょう。

インストールの完了

何度か再起動を繰り返した後、以下のようなプロンプト表示がされればインストールは完了です。 Enter を押下してインストーラーを終了させます。

Chocolatey installed 1/1 packages. 0 packages failed.
 See the log for details (C:\ProgramData\chocolatey\logs\chocolatey.log).
++ Boxstarter finished Calling Chocolatey to install flarevm.installer.flare. This may take several minutes to complete... 00:39:45.3965649
True
Boxstarter: Restore Automatic Updates from Windows Update
Boxstarter: Enabling UAC
Type ENTER to exit:

なお、壁紙が変わっていない場合は、再起動するとうまく反映されると思います。

インストール直後の FLARE VM

導入されたツール一覧

以下はFLAREフォルダに作られていたショートカット一覧です。 数が多いためツール名の一覧は付録に記載します。 またここには記載がない「Sublime Text 3」「Notepad++」については右クリックメニューやスタートメニューから利用可能となっていました。

導入されたツール一覧

なお、ncat が2つあるのは Pentest と Net の両フォルダにショートカットがあるためです。コマンド内容も若干異なります。

右クリックメニュー

HashMyFiles、Radare2、CEF Explorer、7-zip、Notepad++、Vim、010 Editor など、いくつかのメニューが追加されていました。

右クリックメニュー(コンテキストメニュー)

環境設定の変更点

  • Windows PowerShell の実行ポリシーが Unrestricted (制限なし) に設定されます。
  • 「保護されたオペレーティングシステムファイル」「ファイル拡張子」「隠しファイル」が表示されます。
  • タスクバーの表示サイズが小さくなります。
  • スタートメニューでの Bing 検索がオフになります。
  • GameBar ヒントが無効になります。
  • システムドライブのシステム復元機能が無効になります。
  • 画面オフやディスク停止、スタンバイ、ハイバネーションなど各種電源節約周りの設定が無効になります。
  • Windows Defender が無効になります。

導入されていたパッケージ

合計 173 個の Chocolatey パッケージがインストールされていました。 数が多いためパッケージ名の一覧は付録に記載します。

FLARE VM のカスタマイズ

いくつかのツールを追加でインストールしました。

パッケージの追加インストール

choco install exiftool
choco install trid
choco install grep
choco install stirling-jp
choco install sakuraeditor
choco install irfanview
choco install irfanviewplugins
choco install hashtab
choco install audacity
choco install winmerge
choco install teraterm
choco install fiddler
choco install sqlitebrowser
choco install ultravnc
choco install gnuwin32-coreutils.install

一括でインストールする場合は以下の通りです。

choco install exiftool, trid, grep, stirling-jp, sakuraeditor, irfanview, irfanviewplugins, hashtab, audacity, winmerge, teraterm, fiddler, sqlitebrowser, ultravnc, gnuwin32-coreutils.install

サクラエディタの設定

「SAKURAで開く」を右クリックメニューに追加する

管理者権限でコマンドプロンプトを起動して以下を入力します。

reg add HKLM\SOFTWARE\Classes\*\shell\sakuraeditor /d "SAKURAで開く(&E)"
reg add HKLM\SOFTWARE\Classes\*\shell\sakuraeditor\command /t REG_SZ /d "\"%ProgramFiles(x86)%\sakura\sakura.exe\" \"%1\""
サクラエディタをMonokai風の配色する

以下のサイトを参考に配色を変更します。

パッケージのアップデート

管理者権限の Powershell から以下を入力します。

chocolatey upgrade all -y

以上です。

付録

FLARE とは

FireEye Labs Advanced Reverse Engineering の略称で、マルウェア分析を主眼としたリバースエンジニアリングを支援する FireEye のチーム名です。

FLARE VM 導入によって変更される環境設定について

Boxstarter に関して以下のようなコマンドが実行されているようです。

   # Basic system setup
    Update-ExecutionPolicy Unrestricted
    Set-WindowsExplorerOptions -EnableShowProtectedOSFiles -EnableShowFileExtensions -EnableShowHiddenFilesFoldersDrives
    Set-TaskbarOptions -Size Small
    Disable-MicrosoftUpdate
    Disable-BingSearch
    Disable-GameBarTips
    Disable-ComputerRestore -Drive ${Env:SystemDrive}
(snip)
    # Tweak power options to prevent installs from timing out
    & powercfg -change -monitor-timeout-ac 0 | Out-Null
    & powercfg -change -monitor-timeout-dc 0 | Out-Null
    & powercfg -change -disk-timeout-ac 0 | Out-Null
    & powercfg -change -disk-timeout-dc 0 | Out-Null
    & powercfg -change -standby-timeout-ac 0 | Out-Null
    & powercfg -change -standby-timeout-dc 0 | Out-Null
    & powercfg -change -hibernate-timeout-ac 0 | Out-Null
    & powercfg -change -hibernate-timeout-dc 0 | Out-Null
  • Update-ExecutionPolicy Unrestricted
    • Windows PowerShell の実行ポリシーを Unrestricted (制限なし) に設定します。このポリシーではスクリプトが実行できます。
  • Set-WindowsExplorerOptions -EnableShowProtectedOSFiles -EnableShowFileExtensions -EnableShowHiddenFilesFoldersDrives
    • 「保護されたオペレーティングシステムファイル」「ファイル拡張子」「隠しファイル」を表示します。
  • Set-TaskbarOptions -Size Small
    • タスクバーの表示サイズを小さくします。
  • Disable-MicrosoftUpdate
    • Windows Updateオプションをオフにします。(ただ、インストール完了時点ではオンに戻っていました。)
  • Disable-BingSearch
    • スタートメニューでの Bing 検索をオフにします。
  • Disable-GameBarTips
    • GameBar ヒントを無効にします。
  • Disable-ComputerRestore -Drive ${Env:SystemDrive}
    • システムドライブのシステム復元機能を無効にします。
  • powercfg -change
    • 画面オフやディスク停止、スタンバイ、ハイバネーションなど各種電源節約周りの設定を無効にします。

また「disabledefender-winconfig」という Chocolatey パッケージがインストールされており、これによって Windows Defender が無効化されています。

初期導入されていたツール名一覧

FLARE フォルダ配下のショートカットからツール名を抜き出した一覧です。そのためショートカットが作成されていない一部ツールの記載がありません。

010 Editor
ApiLogger
Boxstarter Shell
BurpSuite Free Edition
Bytecode-Viewer
CFF Explorer
CyberChef
DirWatch
Exe2Aut
FLOSS
FakeNet-NG
Fport
Ghidra
HxD
KernelModeDriverLoader
LordPE
Microsoft Visual C++ Build Tools
OllyDbg
OllyDbg2
PE Detective
PE-bear
PMALabs
PPEE
ProcWatch
ProcessDump_x64
ProcessDump_x86
ProcessHacker
PwDump
Py2ExeDecompiler
ResourceHacker
SilkETW
Sniffhit
SysAnalyzer
Task Explorer
Task Explorer x64
UniExtract
Wireshark
apimonitor-x64
apimonitor-x86
apktool
bytehist
cachedump
cachedump64
crypto
cutter
cygwin
d2j-apk-sign
d2j-asm-verify
d2j-baksmali
d2j-class-version-switch
d2j-decrypt-string
d2j-dex-recompute-checksum
d2j-dex-weaver
d2j-dex2jar
d2j-dex2smali
d2j-jar-access
d2j-jar-weaver
d2j-jar2dex
d2j-jar2jasmin
d2j-jasmin2jar
d2j-smali
d2j-std-apk
d2j_invoke
de4dot
dex-tools
die
dnSpy
dnSpy-x86
dnsd
dotpeek
enum
exe2bat
exeinfope
ezhexviewer
far
ffdec
fgdump
fgexec
fileinsight
flareqdb
hashcalc
hashmyfiles
hollows-hunter
idafree
idafree70
idr.small
ilspy
innoextract
innounp
jd-gui
klogger
lessmsi
mbenum
mraptor
mraptor_milter
msodde
nasm
nbtenum
nc
ncat
ndisasm
nmap
officemalscanner
offvis
olebrowse
oledir
oledump
oleform
oleid
olemap
olemeta
oleobj
oletimes
olevba
ooxml
pdfid
pdfparser
pdfstreamdumper
pe-sieve
peid
pestudio
peview
plink
ppt_parser
ppt_record_parser
procexp
procmon
pstgdump
pyxswf
radare2
radmin
record_base
regshot
retdec
rtfobj
rundotnetdll
sbd
scdbg
servpw
servpw64
shellcode_launcher
spystudio
sysinternals
vim
virustotal
vncviewer
volatility
wget
whoami
win_dump
windbgx64
windbgx86
x32dbg
x64dbg
xls_parser
xorsearch
xorstrings
yara32

初期導入されていた Chocolatey パッケージ一覧

C:\Windows\system32>clist -lo
Chocolatey v0.10.15
010editor.flare 9.0.2.2
7zip.flare 15.05.1.2
apimonitor 2.13.0.20160115
apimonitor.flare 2.13.0.20160119
apktool 2.3.4
apktool.flare 2.3.4.4
autohotkey.portable 1.1.31.00
Boxstarter 2.12.0
Boxstarter.Bootstrapper 2.12.0
Boxstarter.Chocolatey 2.12.0
Boxstarter.Common 2.12.0
Boxstarter.HyperV 2.12.0
Boxstarter.WinConfig 2.12.0
burp-suite-free-edition 2.1.04
burp.free.flare 1.7.36.8
bytecode-viewer.flare 2.9.18.3
bytehist.fireeye 1.0.102.3
checksum 0.2.0
chocolatey 0.10.15
chocolatey-core.extension 1.3.3
chocolatey-dotnetfx.extension 1.0.1
chocolatey-fastanswers.extension 0.0.2
chocolatey-windowsupdate.extension 1.0.4
cmdermini 1.3.12
cmdermini.flare 1.3.2.3
common.fireeye 3.0.0.3
cutter.flare 1.8.1.2
cyberchef.flare 8.27.0.20190404
Cygwin 3.0.7
cygwin.flare 2.11.0.6
de4dot.flare 3.1.41592.3409
dex2jar.flare 2.1.0.5
die.flare 2.02.20190319.2
disabledefender-winconfig 0.0.1
dnsd.flare 1.11.0.2
dnspy.flare 6.0.5.3
DotNet3.5 3.5.20160716
DotNet4.5.1 4.5.1.20140606
DotNet4.6.1 4.6.01055.20170308
dotnet4.6.2 4.6.01590.20190822
dotnet4.7.2 4.7.2.20180712
dotnetfx 4.8.0.20190930
dotPeek 2019.2.2
dotPeek.flare 2019.1.0.3
exe2aut.fireeye 0.10.20190531
exeinfope.flare 0.0.5.5
explorersuite.flare 0.0.0.2015
fakenet-ng.python.flare 1.4.3.3
farmanager.flare 3.0.0.2
ffdec.flare 11.2.0.5
fileinsight.flare 2.1.0.3
flare-qdb.python.flare 1.0.0.7
flarevm.config.flare 2.2.16.6
flarevm.installer.flare 2.2.20.1
flashplayeractivex 32.0.0.255
floss.python.flare 1.5.0.8
ghidra.fireeye 9.0.2.20190627
GoogleChrome 77.0.3865.90
googlechrome.flare 69.0.3497.104
hashcalc.flare 2.02.0.4
hashmyfiles.flare 2.36
hollowshunter.fireeye 0.2.0.2
hxd.flare 2.0.0.4
idafree.flare 5.0.0.4
idafree70.flare 7.0.0.5
idr.small.flare 2019.08.27
ilspy 5.0.1
ilspy.flare 3.0.1.4
innoextract.fireeye 1.7.0.2
innounp.fireeye 0.48.0.2
javaruntime 8.0.191
jd-gui.flare 1.4.2.3
jre8 8.0.221
kali_windowsbinaries.flare 20190314.1.0.7
KB2919355 1.0.20160915
KB2919442 1.0.20160915
KB2999226 1.0.20181019
KB3033929 1.0.5
KB3035131 1.0.3
kmdloader.flare 1.2.20180705.4
lessmsi 1.6.91
lessmsi.fireeye 1.6.3.3
libraries.python2.fireeye 1.0.20190731.1
libraries.python3.fireeye 1.0.20190909.3
lordpe.flare 1.41.0.7
nasm 2.14.02
nasm.fireeye 2.14.0.3
ncat.flare 5.59.1.4
netfx-4.6.2 4.6.2.20190930
nmap.flare 7.70.0.2
notepadplusplus 7.7.1
notepadplusplus.flare 7.6.20190417.2
notepadplusplus.install 7.7.1
officemalscanner.flare 0.5.20180131.5
offvis.flare 1.1.0.20170827
oledump.fireeye 0.0.42.3
oletools.fireeye 0.53.20190319.3
ollydbg.flare 1.10.0.5
ollydbg.ollydump.flare 3.00.110.4
ollydbg.ollydumpex.flare 1.7.2.3
ollydbg2.flare 2.01.0.4
ollydbg2.ollydumpex.flare 1.7.2.3
openjdk11 11.0.4.11
pdfid.flare 0.2.5.3
pdfparser.flare 0.7.1.3
PdfStreamDumper.flare 0.9.624.4
pebear.flare 0.3.9.7
peid.flare 0.9.5.4
pesieve 0.2.2
pesieve.fireeye 0.1.7.3
pestudio.flare 8.96.0.2
peview.flare 0.9.9.4
pmalabs.flare 0.0.1.4
PowerShell 5.1.14409.20180811
ppee.fireeye 1.12.0.4
processdump.fireeye 2.1.0.3
processhacker 2.39
processhacker.flare 2.39.0.5
processhacker.install 2.39
putty 0.73
putty.portable 0.73
py2exedecompiler.flare 0.1.20180705.3
python2 2.7.16
python2.x86.nopath.flare 2.7.15.2
python3 3.7.4
radare2.flare 3.3.0.2
rawcap 0.1.5.0
regshot.flare 1.9.3.20170432
reshack.portable 5.1.7
resharper-platform 192.0.20190827.103144
resourcehacker.flare 5.1.1.4
RetDec.flare 3.3.0.2
rundotnetdll.flare 1.0.0.2
scdbg.flare 2018.09.30.4
shellcode_launcher.flare 0.0.1.3
SilkETW.fireeye 0.6.0.2
spystudio 2.9.2.20161106
spystudio.flare 2.9.2.20161110
sublimetext3 3.2.2
SysAnalyzer.flare 2.10.316.2
sysinternals 2019.9.23
sysinternals.flare 2017.02.17.5
uniextract2.fireeye 2.0.0.4
unxUtils 1.0.0.0
upx 3.95
vcbuildtools 2015.4
vcbuildtools.fireeye 2015.4.0.3
vcpython27 9.0.0.30729
vcredist-all.flare 1.0.0.5
vcredist140 14.23.27820
vcredist2005 8.1.0.20160118
vcredist2008 9.0.30729.6163
vcredist2010 10.0.40219.2
vcredist2012 11.0.61031
vcredist2013 12.0.40660.20180427
vcredist2015 14.0.24215.20170201
vcredist2017 14.16.27033
vim.flare 8.1.1.3
volatility.flare 2.6.1.2
Wget 1.20.3.20190531
windbg.flare 10.0.10586.19
windbg.kenstheme.flare 1.0.0.3
windbg.ollydumpex.flare 1.7.2.3
windbg.pykd.flare 0.3.2.7
WinPcap 4.1.3.20161116
wireshark 3.0.5
wireshark.flare 2.2.5.4
x64dbg.flare 2019.04.29.2
x64dbg.ollydumpex.fireeye 1.7.2.4
x64dbg.py.flare 1.0.48
xorsearch.flare 1.11.2.2
xorstrings.flare 0.0.1.20171117
yara.flare 3.7.0.4
173 packages installed.

FLARE VM を利用した理由

Windows 10 のマルウェア解析環境を1903にアップデートしようとしたところ、 再起動時に Windows ロゴが表示されるところで止まってしまう症状になってしまい、 一応解決策はあったものの(後述)、いい機会なのでまっさらな状態から環境構築をすることにしました。

そこでせっかくなので、以前から気になっていた FLARE VM を使ってみることにしました。

先日、偶然「サイバー攻撃に備え日米で競技会」というニュースで FLARE VM を見かけていて 印象に残っていたというのも理由のひとつです。

www.youtube.com

15秒あたりで写り込んでいるディスプレイに FLARE VM のロゴが表示されています。 また、すぐ隣のディスプレイには Tsurugi Linux の背景画像が表示されています。

VMware で Windows 10 を 1903 にアップデートすると起動しなくなる問題への対処について

VMware で Windows 10 環境を 1903 にアップデートした際に、 再起動時に Windows ロゴが表示された状態で止まってしまう症状に遭遇しました。

再起動時に Windows ロゴで止まってしまう仮想マシン

調べたところ vmx ファイルに以下のような記述を追加することで、起動するようにはなりました。

cpuid.brandstring = "VMware Fix for Windows 10 Build 18346 x64"
cpuid.1.ecx = "0--------------0----------------"
cpuid.1.edx = "-----------0---------0----------"
monitor_control.enable_fullcpuid = "TRUE"

ただ、手元の環境では起動後にうまく画面解像度が変更できないなど不安定な面がありました。

(参考リンク)

簡易表層解析 bat

本文で追加したパッケージ前提で利用できるはずの bat です(本当に .bat です)。

検体をドラッグ・アンド・ドロップすると解析レポート(レポート本体、Strings 結果、UPX のアンパック結果)を吐き出してくれます。 元々は色んなものを参考に作った気がします(かなり前に作成したため参考にしたサイトを見つけられず)。

bat 本体(_surfaceanAlysis.bat)
@echo off
SET EXIFTOOL="exiftool.exe"
SET TRID="trid.exe"
SET STRINGS="strings.exe"
SET MD5="checksum.exe -t=md5"
SET SHA1="checksum.exe -t=sha1"
SET SHA256="checksum.exe -t=sha256"
SET GREP=grep.exe
SET PSINFO="PsInfo.exe"
SET SORT="C:\Program Files (x86)\GnuWin32\bin\sort.exe"
SET SED="sed.exe"
SET UPX2="upx.exe"

SET BINWALK="python.exe C:\Python37\Scripts\binwalk"
SET PDFID="pdfid"

SET OUT_FILE=%1_%date:/=%__report.txt
SET STRINGS_OUTFILE=%1_%date:/=%__strings.txt
SET UNPACKED_FILE=%1
SET UPX_OUTFILE_NAME=%1_%date:/=%__unpack.dat

echo ( Filename )>%OUT_FILE%
FOR /f "DELIMS=" %%A IN ('dir %1 /b /a-d') DO SET FILE_NAME=%%A
echo %FILE_NAME%>>%OUT_FILE%
echo.>>%OUT_FILE%

echo  Hash...
echo ( Hash )>>%OUT_FILE%
SET /P DUMMY="MD5    : "<NUL>>%OUT_FILE%
FOR /f "DELIMS=" %%A IN ('%MD5% %1') DO SET ABC=%%A
echo %ABC:~1,32%>>%OUT_FILE%

SET /P DUMMY="SHA1   : "<NUL>>%OUT_FILE%
FOR /f "DELIMS=" %%A IN ('%SHA1% %1') DO SET ABC=%%A
echo %ABC:~1,40%>>%OUT_FILE%

SET /P DUMMY="SHA256 : "<NUL>>%OUT_FILE%
FOR /f "DELIMS=" %%A IN ('%SHA256% %1') DO SET ABC=%%A
echo %ABC:~1,60%>>%OUT_FILE%

echo.>>%OUT_FILE%

echo  TrID...
echo ( TrID )>>%OUT_FILE%
for /f "skip=6 delims=" %%A IN ('%TRID% %1') DO (echo %%A>>%OUT_FILE%)
echo.>>%OUT_FILE%

echo  exiftool...
echo ( Exiftool )>>%OUT_FILE%
call cmd /c %EXIFTOOL% %1 >>%OUT_FILE%
echo.>>%OUT_FILE%

echo  Check ADS...
echo ( Check ADS )>>%OUT_FILE%
call powershell -c "cmd /c 'dir /r %FILE_NAME%' | ?{$_.Contains('calc.exe')}">>%OUT_FILE%
echo.>>%OUT_FILE%

echo  Check UPX...
echo ( Check UPX )>>%OUT_FILE%
if exist %UPX_OUTFILE_NAME% (
  Del %UPX_OUTFILE_NAME%
)
for /f "skip=4 delims=" %%A IN ('%UPX2% -d -o%UPX_OUTFILE_NAME% %1') DO (echo %%A>>%OUT_FILE%)
echo.>>%OUT_FILE%
if exist %UPX_OUTFILE_NAME% (
  SET UNPACKED_FILE=%UPX_OUTFILE_NAME%
)

echo  PDFiD...
echo ( PDFiD )>>%OUT_FILE%
for /f "skip=1 delims=" %%A IN ('%PDFID% %1') DO (echo %%A>>%OUT_FILE%)
echo.>>%OUT_FILE%

echo  binwalk...
echo ( Binwalk )>>%OUT_FILE%
call cmd /c %BINWALK% %UNPACKED_FILE% | %GREP% -v LZMA >>%OUT_FILE%
echo.>>%OUT_FILE%

echo  strings...
call cmd /c %STRINGS% -nobanner %UNPACKED_FILE% >%STRINGS_OUTFILE%

echo  grep...
echo ( Grep )>>%OUT_FILE%
call cmd /c %GREP% "%STRINGS_OUTFILE%" -o -i -f _grep_reg.txt | %SORT% -u | %SED% -e "s/http/hxxp/g">>%OUT_FILE%
echo.>>%OUT_FILE%

echo  PsInfo...
echo.>>%OUT_FILE%
echo ( PsInfo )>>%OUT_FILE%
for /f "skip=2 delims=" %%A IN ('%PSINFO% -nobanner -h') DO (echo %%A>>%OUT_FILE%)
echo.>>%OUT_FILE%
grep用テキスト(_grep_reg.txt)

ここに記載した内容で grep してくれます。サンプルではURLやCTF向けのフラグ抽出のためのキーワードを入れています。

https://[^'" ]*
http://[^'" ]*
ftp://[^'" ]*
LoadLibrary
GetProcAddress
UPX
tcp://[^'" ]*
udp://[^'" ]*
flag{[A-z0-9\_\-\!\#\$\%\@]*.
ctf{[A-z0-9\_\-\!\#\$\%\@]*.
実行結果サンプル(calc.exe)

(補足)ファイルのプロパティで見るとタイムスタンプは 2019/03/19 となっていたのですが、Exiftools の Time Stamp ではなぜか未来日(2027/07/09)となっていました。 pestudio でも同様に未来日が表示されていたので、原因は calc.exe 自体にありそうですが詳細は不明です。

( Filename )
calc.exe

( Hash )
MD5    : 88CC05134C555D4E1CD1DEF78162A9A
SHA1   : 882F09EAFDDB75843BDDBACB796B90195445183
SHA256 : 103A57D50B32469C5811E2808F021ADF9D9220093B540B8A9C83B5C821D3

( TrID )
 55.0% (.EXE) Win64 Executable (generic) (27624/17/4)
 32.9% (.EXE) Microsoft Visual C++ compiled executable (generic) (16529/12/5)
  4.0% (.EXE) OS/2 Executable (generic) (2029/13)
  3.9% (.EXE) Generic Win/DOS Executable (2002/3)
  3.9% (.EXE) DOS Executable Generic (2000/1)

( Exiftool )
ExifTool Version Number         : 11.70
File Name                       : calc.exe
Directory                       : C:/0/90_kentai/exe
File Size                       : 27 kB
File Modification Date/Time     : 2019:03:19 13:45:49+09:00
File Access Date/Time           : 2019:10:14 21:30:44+09:00
File Creation Date/Time         : 2019:10:14 20:17:46+09:00
File Permissions                : rw-rw-rw-
File Type                       : Win64 EXE
File Type Extension             : exe
MIME Type                       : application/octet-stream
Machine Type                    : AMD AMD64
Time Stamp                      : 2073:07:09 12:24:19+09:00
Image File Characteristics      : Executable, Large address aware
PE Type                         : PE32+
Linker Version                  : 14.15
Code Size                       : 3072
Initialized Data Size           : 25088
Uninitialized Data Size         : 0
Entry Point                     : 0x1820
OS Version                      : 10.0
Image Version                   : 10.0
Subsystem Version               : 10.0
Subsystem                       : Windows GUI
File Version Number             : 10.0.18362.1
Product Version Number          : 10.0.18362.1
File Flags Mask                 : 0x003f
File Flags                      : (none)
File OS                         : Windows NT 32-bit
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : English (U.S.)
Character Set                   : Unicode
Company Name                    : Microsoft Corporation
File Description                : Windows Calculator
File Version                    : 10.0.18362.1 (WinBuild.160101.0800)
Internal Name                   : CALC
Legal Copyright                 : © Microsoft Corporation. All rights reserved.
Original File Name              : CALC.EXE
Product Name                    : Microsoft® Windows® Operating System
Product Version                 : 10.0.18362.1
Warning                         : Possibly corrupt Version resource

( Check ADS )
2019/03/19  13:45            27,648 calc.exe

( Check UPX )
        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
Unpacked 0 files.

( PDFiD )
 Not a PDF document

( Binwalk )

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)
9184          0x23E0          XML document, version: "1.0"
9246          0x241E          Copyright string: "Copyright (c) Microsoft Corporation -->"
12392         0x3068          PNG image, 256 x 256, 8-bit grayscale, non-interlaced
12433         0x3091          Zlib compressed data, best compression


( Grep )
hxxp://schemas.microsoft.com/SMI/2005/WindowsSettings


( PsInfo )
Kernel version:            Windows 10 Enterprise, Multiprocessor Free
Product type:              Professional
Product version:           6.3
Service pack:              0
Kernel build number:       18362
Registered organization:   
Registered owner:          Windows ????
IE version:                9.0000
System root:               C:\Windows
Processors:                4
Processor speed:           2.7 GHz
Processor type:            Intel(R) Core(TM) i5-7200U CPU @
Physical memory:           486 MB
Video driver:              VMware SVGA 3D
Installed     HotFix
n/a           Internet Explorer - 0

参考文献

FLARE VM について

FLARE VM のカスタマイズ

Chocolatey について

Boxstarter について

更新履歴

  • 2019/10/14 新規作成
  • 2019/10/14 Windows Defender が無効化されている点について追記。
  • 2019/10/15 導入ツール一覧についてFLARE フォルダのショートカットから抽出した旨を明記。
  • 2019/11/07 一時的にインストールが失敗する事象が発生していた件についての補足を追記。
  • 2019/11/15 「パッケージのアップデート」を追記。
  • 2020/08/31 Chocolatey の URL を修正。
  • 2021/02/11 「Microsoft Defender Antivirus を無効化」について追記。
  • 2023/01/10 一部リンク切れの旨を追記

*1:2019/11/01~2019/11/04 頃にインストールがうまくいかない事象が発生していたようです。これについては 2019/11/04 にアップデートされた install.ps1 で修正されているようです。

*2:"UPDATE (April 26, 2018): The web installer method to deploy FLARE VM is now deprecated. " / https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html