- Thrunting Labs vừa tung bản nâng cấp lớn cho mảng Malware Analysis: học viên được chọn môi trường REMnux (Linux) hoặc FLARE VM (Windows), Incident Response tách thành track riêng, và workspace phân tích được dựng lại với panel câu hỏi + tool reference ghim bên phải.
- Tất cả đã live, ngay trước khi case domain compromise khởi đầu từ NetSupport RAT ra mắt.
TL;DR
Thrunting Labs (threathuntinglabs.com) vừa phát hành bản nâng cấp lớn cho mảng Malware Analysis: lab giờ cho phép chọn REMnux (Linux) hoặc FLARE VM (Windows) ngay từ đầu, Incident Response được tách thành track độc lập, và giao diện workspace được dựng lại để ghim câu hỏi đang làm + tool reference ở panel bên phải. Thay đổi đã live. Case lớn kế tiếp — full domain compromise bắt đầu từ một nhiễm NetSupport RAT — sắp ra mắt.
What's new
- Hai môi trường lab: học viên chọn REMnux hoặc FLARE VM trước khi vào bài. Trước đây chỉ có REMnux.
- Tách track: Incident Response không còn nằm chung với Malware Analysis. Mỗi track có workflow riêng, sạch và tập trung hơn.
- Workspace mới cho Malware Analysis: câu hỏi đang active ghim cố định bên phải, kèm bảng tool reference gợi ý công cụ phù hợp để inspect từng loại artefact.
- Case sắp ra: full domain compromise khởi nguồn từ một infection NetSupport RAT — được mô tả là "case lớn nhất từ trước đến giờ" của nền tảng.
Why it matters
Phần lớn sample malware thực tế là Windows PE, nên lab chỉ có Linux luôn bị gò bó khi cần chạy debugger, disassembler hoặc sandbox gốc Windows. Thêm FLARE VM giải quyết đúng điểm nhức nhối đó: analyst có thể dùng x64dbg, Ghidra, PE-bear, Detect It Easy, FakeNet-NG, FLOSS trong đúng môi trường chúng được thiết kế.
Việc tách Incident Response thành track riêng cũng không phải trang trí. IR và reverse-engineering có nhịp làm việc khác nhau — IR thiên về timeline, telemetry và containment; malware analysis thiên về static/dynamic dissection. Gộp chung luôn khiến một trong hai bị thiệt. Cách tách mới cho phép mỗi track dùng đúng workflow và đúng bộ câu hỏi.
Technical facts
| Yếu tố | Trước upgrade | Sau upgrade |
|---|---|---|
| Môi trường lab | Chỉ REMnux | REMnux hoặc FLARE VM |
| Track | IR gộp trong Malware Analysis | IR & Malware Analysis tách riêng |
| Workspace | Bố cục chuẩn | Câu hỏi active ghim phải + panel tool reference |
| Sample Windows | Phải xoay bằng tool Linux | Native qua FLARE VM |
Bối cảnh hai distro:
- FLARE VM — Mandiant duy trì, dùng Chocolatey + Boxstarter để auto cài bộ tool RE/malware analysis trên Windows. Ghi nhận khoảng 70,000 lượt cài trong giai đoạn 2018–2022 (Mandiant).
- REMnux — do Lenny Zeltser khởi xướng, Ubuntu-based, 15 năm tuổi, 8 bản release lớn, hơn 200 tool preconfigured; v8 (2/2026) bổ sung tích hợp AI cho phép AI assistant tự chạy tool REMnux (REMnux docs, Help Net Security).
Use cases
- SOC analyst đang lên Tier-2/Tier-3 cần luyện triage sample Windows PE thật sự, không phải mô phỏng.
- Incident responder muốn một track có workflow đúng kiểu IR: timeline, telemetry, containment — không phải workflow RE bị gắn mác IR.
- Reverse engineer quen với x64dbg/IDA/Ghidra trên Windows, giờ khỏi phải tự dựng FLARE VM ở nhà.
- Threat hunter muốn chuẩn bị cho case full-chain — đặc biệt là case NetSupport RAT sắp ra, map đúng với các chiến dịch ClickFix và fake browser update mà Cisco Talos và Darktrace đang theo dõi.
Case sắp ra: NetSupport RAT → domain compromise
NetSupport RAT là biến thể lạm dụng NetSupport Manager — một tool remote admin hợp pháp — để biến chức năng quản trị thành kênh C2. Các chiến dịch gần đây phát tán qua fake browser update (SocGholish), fake CAPTCHA và ClickFix: victim copy-paste PowerShell do kẻ tấn công soạn sẵn, sau đó stager kéo payload, dựng persistence qua client32.ini và NSM.lic, rồi chạy reconnaissance từ C:\Users\Public\.
Một case lab đi từ infection ban đầu đến full domain compromise cho phép analyst luyện cả ba tầng: reverse sample, đọc telemetry mạng, và pivot trong AD — đúng kiểu intrusion thật. Đây là thứ mà labs CTF ngắn khó mô phỏng được.
Limitations & pricing
Bản thân thông báo không đi kèm chi tiết giá hay quyền truy cập; nền tảng hiện sau passphrase login. Lựa chọn môi trường là theo từng lab, nên các lab cũ vẫn giữ behavior cũ — option mới có giá trị rõ nhất ở những bài cần toolchain Windows. Case NetSupport RAT được tease là "dropping soon", chưa có ngày cụ thể.
What's next
Bước kế tiếp rõ ràng là case full domain compromise. Nếu bạn đang xây lộ trình training cho team SOC/IR, thời điểm này đáng để xem lại: vừa có option Windows-native, vừa có track IR tách bạch, vừa sắp có một case end-to-end đúng kiểu điều tra thực chiến.
Nguồn: @ThruntingLabs, Mandiant FLARE VM, REMnux.