FLARE VM es una distribución de herramientas de análisis de malware para Windows, desarrollada por el equipo FLARE (FireEye/Mandiant Labs Advanced Reverse Engineering). Se instala sobre una VM de Windows limpia y añade más de 140 herramientas de RE, forense, análisis de red y utilidades.

¿FLARE VM reemplaza a REMnux?

No, se complementan. FLARE VM es para análisis de malware en Windows (PE analysis, debugging, .NET analysis). REMnux es para análisis en Linux (ELF analysis, network forensics, document analysis). Lo ideal es tener ambas VMs en el laboratorio.

¿Puedo instalar FLARE VM en Windows 11?

Sí. FLARE VM soporta Windows 10 y 11. Windows 11 es recomendado para analizar malware moderno que verifica la versión de Windows. Usar la edición Enterprise o Education para máximo control de actualizaciones.

¿Cuánto espacio necesita FLARE VM?

La VM base de Windows necesita unos 20 GB. FLARE VM añade ~40-60 GB de herramientas. Recomendado: disco virtual de 120+ GB para tener espacio para muestras y análisis. Usar disco de estado sólido (SSD) en el host para rendimiento.

¿Con qué frecuencia debo actualizar FLARE VM?

Actualizar las herramientas mensualmente con el script de actualización de FLARE VM. NO actualizar Windows con Windows Update en la VM de análisis (las actualizaciones pueden cambiar comportamientos que el malware explota). Mantener una VM con Windows sin actualizaciones para análisis de exploits.

PrincipiantelaboratorioFLARE VMMandiantconfiguraciónWindowsherramientas

FLARE VM: Configuración Paso a Paso de la Distro de Análisis de Malware

Guía paso a paso para instalar y configurar FLARE VM de Mandiant. Requisitos de hardware, instalación en Windows 10/11, herramientas incluidas, personalización, snapshots y mejores prácticas para un laboratorio de análisis de malware productivo.

MalwareIntel Research·21 de mayo de 2026·8 min lectura

Serie: Entornos de Análisis — Parte 4

FLARE VM: tu estación de trabajo de análisis de malware

FLARE VM convierte una instalación limpia de Windows en una estación completa de análisis de malware con un solo script. En vez de instalar 140+ herramientas manualmente (Ghidra, x64dbg, IDA Free, dnSpy, pestudio, Wireshark, Procmon, YARA, Python, etc.), FLARE VM lo automatiza todo.

Desarrollada y mantenida por el equipo FLARE de Mandiant (los mismos que crearon CAPA, FLOSS y cientos de herramientas de RE), FLARE VM es el estándar de facto para laboratorios de análisis de malware en Windows.

Requisitos

Hardware del host

Componente	Mínimo	Recomendado
CPU	4 cores	8+ cores (para la VM + host)
RAM	16 GB	32 GB (FLARE VM necesita 4-8 GB)
Disco	120 GB libre	256+ GB SSD
GPU	No necesaria	No necesaria

Software del host

Componente	Opción
Hypervisor	VMware Workstation Pro (gratuito), VirtualBox, Hyper-V
OS de la VM	Windows 10/11 (Enterprise o Education preferido)
ISO	Descargar de Microsoft (evaluation copies: 90 días)

Instalación paso a paso

Paso 1: crear la VM

VMware Workstation:
1. File > New Virtual Machine > Custom
2. Hardware compatibility: Workstation 17.x
3. Installer disc image: Windows 10/11 ISO
4. Processors: 4 cores
5. Memory: 8192 MB (8 GB)
6. Network: Host-only (AISLADA, sin acceso a Internet)
7. Disk: 120 GB, store as single file
8. Finish > Power On

Paso 2: instalar Windows

1. Instalar Windows 10/11 normalmente
2. Crear usuario local (NO cuenta Microsoft)
3. Deshabilitar Windows Update (importante para estabilidad del lab)
4. Deshabilitar Windows Defender (va a interferir con muestras de malware):
   - gpedit.msc > Computer Configuration > Administrative Templates > 
     Windows Components > Microsoft Defender Antivirus > Turn off = Enabled
5. Deshabilitar tamper protection en Windows Security settings
6. Instalar VMware Tools / VirtualBox Guest Additions

Paso 3: instalar FLARE VM

# Abrir PowerShell como Administrador

# 1. Permitir ejecucion de scripts
Set-ExecutionPolicy Unrestricted -Force

# 2. Descargar el instalador
# (Requiere conexion a Internet temporal)
(New-Object net.webclient).DownloadFile(
    'https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',
    "$env:USERPROFILE\Desktop\install.ps1"
)

# 3. Ejecutar instalador
# Esto tarda 1-3 horas dependiendo de la conexion
Unblock-File "$env:USERPROFILE\Desktop\install.ps1"
& "$env:USERPROFILE\Desktop\install.ps1"

# 4. El script:
#    - Instala Chocolatey (package manager)
#    - Instala Boxstarter
#    - Descarga e instala 140+ herramientas
#    - Configura paths, asociaciones de archivos, accesos directos
#    - Reinicia varias veces durante la instalacion

Paso 4: post-instalación

1. Verificar que las herramientas estan instaladas:
   - Escritorio: accesos directos a Ghidra, x64dbg, dnSpy, IDA Free, etc.
   - Start Menu: categorias organizadas de herramientas
   
2. Configurar red:
   - Cambiar red de la VM a Host-only o Internal
   - Configurar IP estatica si es necesario para lab
   
3. Tomar SNAPSHOT:
   - VM > Snapshot > Take Snapshot > "FLARE VM Clean Install"
   - Este snapshot es tu estado base limpio
   - SIEMPRE revertir a este snapshot despues de analizar malware
   
4. Opcional: configuraciones adicionales:
   - Instalar Python packages adicionales (pip install ...)
   - Configurar IDA/Ghidra con plugins favoritos
   - Importar reglas YARA
   - Configurar Sysmon

Herramientas incluidas en FLARE VM

Decompiladores y disassemblers

Herramienta	Uso
Ghidra	Decompilador open source (NSA)
IDA Free	Disassembler (versión gratuita)
x64dbg	Debugger x86/x64
dnSpy	Decompilador + debugger .NET
ILSpy	Decompilador .NET alternativo
radare2/Cutter	Framework de RE + GUI
Binary Ninja (demo)	Decompilador moderno

Análisis de PE y triage

Herramienta	Uso
pestudio	Triage de PE (imports, strings, indicadores)
PE-bear	Visualización de PE
CFF Explorer	Editor de PE headers
Detect It Easy (DIE)	Detección de packers/compiladores
Exeinfo PE	Detección de packers
Resource Hacker	Editor de recursos PE
CAPA	Detección de capacidades (Mandiant)
FLOSS	Extracción de strings ofuscadas (Mandiant)

Monitorización y debugging

Herramienta	Uso
Process Monitor (Procmon)	Monitorización de actividad del sistema
Process Hacker / System Informer	Inspección de procesos
Regshot	Comparación de registro
API Monitor	Logging de API calls
Wireshark	Captura de tráfico de red
FakeNet-NG	Simulación de servicios de red

Utilidades

Herramienta	Uso
Python 3	Scripting
HxD	Editor hexadecimal
7-Zip	Compresión/descompresión
Notepad++	Editor de texto avanzado
CyberChef	Decodificación (base64, XOR, etc.)
UPX	Empaquetador/desempaquetador
Sysinternals Suite	Todas las herramientas Sysinternals
YARA	Pattern matching
de4dot	Deobfuscador .NET
olevba / oletools	Análisis de documentos Office

Python packages incluidos

Package	Uso
pefile	Parsing de PE
capstone	Disassembly framework
unicorn	CPU emulation
yara-python	YARA desde Python
pwntools	CTF/exploit development
requests	HTTP
scapy	Network packet manipulation
volatility3	Memory forensics
oletools	Análisis de documentos
dnfile	Parsing de .NET assemblies

Personalización post-instalación

Añadir herramientas adicionales

# Via Chocolatey
choco install neo4j-community   # Para BloodHound
choco install golang             # Para análisis de Go malware

# Via pip
pip install lief                 # Binary analysis library
pip install rzpipe              # radare2 Python binding
pip install malduck             # Malware config extraction

Configurar Sysmon en la VM

# Descargar Sysmon
# Ya incluido en Sysinternals Suite

# Instalar con configuracion de SwiftOnSecurity
sysmon64.exe -accepteula -i sysmonconfig-export.xml

# Sysmon registra actividad del malware que ejecutes
# Util para correlacionar con Procmon

Importar reglas YARA

# Clonar repositorios de reglas
git clone https://github.com/Neo23x0/signature-base C:\Tools\yara-rules\signature-base
git clone https://github.com/Yara-Rules/rules C:\Tools\yara-rules\community

# Escanear una muestra
yara64.exe -r C:\Tools\yara-rules\signature-base\yara\malware\ sample.exe

Workflow con FLARE VM

1. Revertir VM al snapshot limpio ("FLARE VM Clean Install")

2. Copiar muestra al escritorio de la VM
   (via shared folder temporal o drag-and-drop)

3. FASE 1: Triage (5 min)
   - pestudio: abrir muestra, revisar score
   - DIE: identificar packer/compilador
   - CAPA: deteccion de capacidades
   - strings/FLOSS: buscar IOCs

4. FASE 2: Analisis estatico profundo (30-60 min)
   - Si packed: UPX -d o unpacking manual con x64dbg
   - Ghidra: decompilacion, analisis de funciones
   - Si .NET: dnSpy, de4dot si ofuscado

5. FASE 3: Analisis dinamico (30-60 min)
   - Iniciar Procmon + Wireshark + FakeNet-NG
   - Ejecutar muestra
   - Observar comportamiento
   - Detener, guardar logs

6. FASE 4: Documentar
   - IOCs extraidos (hashes, C2, persistence)
   - Mapeo ATT&CK
   - Clasificacion (familia, tipo, riesgo)

7. Guardar informe y artefactos

8. Revertir VM al snapshot limpio

Errores comunes

Error	Solución
Instalación falla por Windows Update	Deshabilitar Windows Update ANTES de instalar FLARE VM
Defender borra herramientas de FLARE VM	Deshabilitar Defender completamente ANTES de instalar
"Execution policy" error	`Set-ExecutionPolicy Unrestricted -Force`
Herramientas no se encuentran en PATH	Reiniciar la VM tras instalación
Chocolatey timeout	Reintentar con mejor conexión a Internet
VM lenta	Asignar más RAM (8 GB mínimo), usar SSD en host
Malware detecta VM	Instalar VMware Tools, usar configuración anti-detection

Mapeo MITRE ATT&CK del analista

Las herramientas de FLARE VM mapean directamente a las técnicas que el analista investiga:

Herramienta FLARE VM	Técnicas que investiga
pestudio / CAPA	Triage: identificar capacidades del malware
x64dbg	Ejecución paso a paso, bypass anti-debug
Procmon	Persistencia (registro, archivos), descubrimiento
Wireshark	Comunicación C2 (red)
dnSpy	Análisis de .NET malware
Ghidra	Reverse engineering completo
YARA	Detección por patrones
FakeNet-NG	Simulación de C2 para análisis behavioral

Fuentes y referencias

Mandiant. "FLARE VM: Windows Malware Analysis Distribution." https://github.com/mandiant/flare-vm
Mandiant. "FLARE VM Installation Guide." Mandiant Blog.
Chocolatey. "Package Manager for Windows." https://chocolatey.org/
Microsoft. "Windows 10/11 Enterprise Evaluation." https://www.microsoft.com/evalcenter/
VMware. "VMware Workstation Pro." https://www.vmware.com/products/workstation-pro.html
SwiftOnSecurity. "Sysmon Configuration." https://github.com/SwiftOnSecurity/sysmon-config

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Learning Malware Analysis (Monnappa)