Environnement Sandbox
Analyse de Malwares
Déploiement d'une infrastructure de reverse engineering et d'analyse forensique basée sur REMnux et FlareVM — mis en place en interne chez Giga Media.
Les distributions
Deux environnements spécialisés et complémentaires, couvrant l'analyse de malwares Linux et Windows dans un contexte isolé et reproductible.
Basé sur
Distribution GNU/Linux basée sur Ubuntu, maintenue par Lenny Zeltser et la communauté SANS. Elle repose sur un système Debian stable auquel sont ajoutés des centaines d'outils de sécurité préconfigurés et prêts à l'emploi.
À quoi ça sert
REMnux est spécialisée dans l'analyse de malwares, la forensique mémoire et le reverse engineering. Elle permet d'analyser des fichiers suspects (PE, PDF, documents Office, scripts…) dans un environnement isolé et reproductible, en statique ou en dynamique.
Pourquoi l'utiliser
Tout-en-un, gratuit et maintenu activement. Elle regroupe des outils comme Volatility, YARA, Cutter, Wireshark ou ClamAV, évitant toute configuration manuelle. Idéale comme OS hôte pour un lab de sécurité, elle intègre également KVM/QEMU pour héberger des VMs d'analyse Windows.
Basé sur
Script d'installation PowerShell développé par la FLARE Team de Mandiant (Google) qui se déploie sur une installation vierge de Windows 10 ou 11. Il automatise l'installation de plus de 50 outils de sécurité via le gestionnaire de paquets Chocolatey.
À quoi ça sert
FlareVM est un environnement Windows dédié à l'analyse de malwares Windows, au débogage et au reverse engineering de binaires PE (.exe, .dll). Il permet d'analyser les fichiers malveillants dans un contexte Windows natif, en statique avec des décompilateurs et en dynamique avec des debuggers.
Pourquoi l'utiliser
C'est l'environnement de référence pour analyser les malwares ciblant Windows — complémentaire à REMnux. L'installation est automatisée, reproductible et inclut x64dbg, IDA Free, dnSpy ou PEStudio. Indispensable pour l'analyse dynamique : on observe le comportement réel du malware sous Windows.
Notre déploiement
Architecture déployée en interne chez Giga Media sur un poste physique dédié — isolé de l'infrastructure de production.
Poste physique de récupération
PC de récup dédié exclusivement à l'analyse de menaces, isolé du réseau de production. Aucune donnée sensible de l'entreprise n'est présente sur cette machine.
REMnux
Installé directement sur le bare-metal. Sert d'OS hôte principal pour l'analyse Linux et héberge l'hyperviseur KVM pour lancer la VM FlareVM.
KVM / QEMU + Virt-Manager
Hyperviseur de type 1 intégré au noyau Linux. Performances proches du natif, gestion des snapshots et réseau isolé (NAT ou host-only) pour confiner la VM Windows.
FlareVM (Windows 11)
VM Windows 11 isolée configurée avec FlareVM. Les analyses de malwares Windows s'effectuent ici en toute sécurité, avec restauration de snapshot après chaque analyse.
Pourquoi cette architecture ?
Le poste de récup est dédié et isolé du réseau de production, empêchant toute propagation de malware vers l'infrastructure Giga Media.
KVM permet de prendre des snapshots avant chaque analyse. Après l'étude d'un malware, la VM FlareVM est restaurée à un état propre en quelques secondes.
KVM étant intégré au noyau Linux, les performances de la VM Windows sont proches du natif, sans surcharge d'un hyperviseur de type 2 comme VirtualBox.
REMnux en hôte pour l'analyse Linux/multi-plateforme, FlareVM en VM pour l'analyse Windows : la combinaison couvre la grande majorité des malwares rencontrés.
REMnux et FlareVM sont 100% open source et gratuits. Le poste physique est issu du parc de récupération. Aucune licence supplémentaire n'est nécessaire.
L'environnement peut être redéployé rapidement sur tout poste Linux grâce à l'ISO REMnux et au script PowerShell FlareVM — configuration documentée et versionnée.
Voir toutes mes réalisations chez Giga Media
Retrouvez l'ensemble des projets et interventions réalisés durant mon stage et mon alternance.