1. FlareVM이란?
FlareVM은 FireEye/Mandiant에서 개발한 Windows 기반의 보안 연구 및 악성코드 분석을 위한 가상 머신 환경이다. 일반적인 Windows 운영체제는 보안이 강화되어 있어 악성코드를 분석하거나 해킹 관련 도구를 실행하기 어렵다. 하지만 FlareVM은 리버스 엔지니어링, 취약점 연구, 포렌식 분석을 위한 다양한 툴이 사전 설치된 맞춤형 Windows 환경을 제공한다.
FlareVM은 Windows Defender 및 기타 보안 기능이 비활성화된 상태로 설정되어 있어, 악성코드 분석과 같은 실험을 보다 원활하게 진행할 수 있다. 이 환경은 가상 머신에서 실행할 수 있기 때문에 분석 후 간편하게 원상 복구가 가능하다는 장점이 있다.
2. FlareVM에서 가장 많이 사용되는 주요 도구 5가지
FlareVM에는 다양한 분석 및 해킹 도구가 포함되어 있지만, 아래 5개 도구는 가장 많이 사용되는 필수 프로그램이다.
1️⃣ IDA Free - 바이너리 분석 및 디스어셈블러
-
IDA Pro의 무료 버전으로, 바이너리 코드를 분석하고 어셈블리 코드로 변환하는 강력한 리버스 엔지니어링 도구이다.
-
악성코드의 실행 흐름을 분석하고 특정 함수나 암호화 알고리즘을 확인하는 데 사용된다.
2️⃣ Ghidra - 오픈소스 리버스 엔지니어링 도구
-
미국 NSA에서 개발한 강력한 바이너리 분석 도구로, 다양한 아키텍처를 지원하며 IDA Pro와 유사한 기능을 제공한다.
-
IDA Pro의 대체제로 활용하며, 디컴파일된 C 코드 수준에서 악성코드를 분석할 때 유용하다.
3️⃣ x64dbg - 디버거 및 메모리 분석 도구
-
x64dbg는 Windows 실행 파일(EXE, DLL 등)의 동작을 추적하는 디버깅 도구이다.
-
악성코드가 실행될 때 어떤 API를 호출하는지 확인하고, 특정 조건에서 프로그램의 동작을 변경하는 데 사용된다.
4️⃣ Process Hacker - 실시간 프로세스 모니터링 도구
-
Windows에서 실행 중인 모든 프로세스를 확인하고 제어할 수 있는 강력한 도구이다.
-
악성코드가 숨겨둔 백그라운드 프로세스를 찾아내거나, 특정 프로세스가 어떤 네트워크 연결을 시도하는지 분석할 때 유용하다.
5️⃣ Wireshark - 네트워크 패킷 분석 도구
-
네트워크 트래픽을 실시간으로 캡처하고 분석할 수 있는 오픈소스 도구이다.
-
악성코드가 특정 C2(Command & Control) 서버와 통신하는지 확인하고, 데이터 유출 여부를 분석하는 데 사용된다.
-
이 외에도 OllyDbg, PE-bear, YARA, Regshot, Autoruns 등의 도구들이 포함되어 있어 악성코드 분석과 리버스 엔지니어링을 보다 체계적으로 진행할 수 있다.
3. FlareVM 간단한 설치 방법
FlareVM을 설치하는 과정은 다음과 같은 단계로 진행된다.
🔹 1단계: Windows 가상 머신 준비
- FlareVM은 Windows 환경에서만 동작하므로, UTM, VMware, VirtualBox 같은 가상 머신을 사용해 Windows 10 또는 11을 설치해야 한다.
- 필자는 M1_Pro에서 UTM(Window11(arm))에서 FlareVM을 설치하였다.
✅ 필수 준비:
-
Windows 10 또는 11 가상 머신 (RAM 최소 4GB 이상)
-
인터넷 연결 가능 (FlareVM 설치 시 여러 패키지를 다운로드함)
-
관리자(Administrator) 계정 사용
🔹 2단계: PowerShell을 관리자 권한으로 실행
-
Win + S를 눌러 PowerShell을 검색한다.
-
"관리자 권한으로 실행"을 클릭한다.
-
아래 명령어를 입력하여 실행 정책을 변경한다:
Set-ExecutionPolicy Unrestricted -Force🔹 3단계: FlareVM 설치 스크립트 실행
아래 명령어를 입력하여 FlareVM 설치를 시작한다.
iwr -useb https://raw.githubusercontent.com/mandiant/flare-vm/master/install.ps1 | iex이 스크립트는 FlareVM의 패키지를 자동으로 다운로드하고 설치한다.
설치가 완료되면 가상 머신이 여러 번 자동으로 재부팅될 수 있으니 놀라지말자.
🔹 4단계: 설치 완료 후 확인
설치가 정상적으로 완료되면, 바탕화면에 FLARE 관련 아이콘들이 생성된다.
또한, C:\Tools\ 폴더를 확인하면 다양한 분석 도구들이 설치되어 있는 것을 확인할 수 있다.
✅ 설치 후 권장 설정:
-
Windows Defender 예외 목록에 C:\Tools\ 추가
-
UTM 또는 VMware에서 가상 머신의 네트워크 모드를 "NAT" 또는 "Bridge"로 설정하여 인터넷 연결 유지
-
중요한 작업 전에 UTM의 스냅샷(Snapshot)을 저장하여 복구 가능하도록 설정
ㄴ> 필자는 FlareVM 설치 전-후 하나씩 스냅샷을 저장해놓았다.
이번에 악성코드 분석 및 보고서를 작성, 더 나아가 악성코드 분석 자동화 시스템을 구축해 보는 프로젝트를 진행하게 되었다.
필자는 아직 악성코드를 분석해 본 경험이 없어서 환경구축에 고민이 많았는데 이렇게 All_in_1(?) 플랫폼이 있어서 다행이라고 생각한다.
이번 기회에 다양한 분석 Tool을 사용해 보고 그 결과들을 조합하여 악성코드의 정체를 파헤치는 경험을 해볼 수 있을 거 같아 기대된다.
