Articles / 3 září, 2021

Nastavení Cuckoo Sandbox Step by Step Guide(Malware Analysis Tool)

Napadlo mě napsat tento článek, protože proces nastavení Cuckoo je složitý a jeho nastavení mi zabralo spoustu času. A chtěl jsem pomoci ostatním, aby se těmto problémům vyhnuli, protože neexistuje mnoho přesných a aktuálních průvodců.

Cuckoo je nástroj pro automatickou analýzu malwaru s otevřeným zdrojovým kódem, který umožňuje analyzovat mnoho různých škodlivých souborů, které ovlivňují různé operační systémy, jako jsou Windows, Linux, macOS a Android.

Jak někteří z vás vědí, existují dva typy analýzy malwaru,

1. Analýza malwaru:

1. Analýza škodlivého softwaru. Statická analýza malwaru – analýza malwaru bez jeho skutečného spuštění. Bude brát v úvahu vlastnosti, jako je název souboru, kontrolní součty MD5 nebo hashe, typ souboru, velikost souboru a rozpoznání antivirovými detekčními nástroji.

2. Dynamická analýza malwaru – Analýza malwaru jeho skutečným spuštěním a analýza jeho chování, jako jsou volání API, využití paměti, síťový provoz atd.(Cuckoo je nástroj pro dynamickou analýzu malwaru)

Co je Sandboxing?

V oblasti počítačové bezpečnosti spouštíme neznámé, netestované nebo nedůvěryhodné programy nebo kód, programy ve virtuálním prostředí, aniž bychom ohrozili hostitelský počítač nebo operační systém. Tomu se říká sandboxing. Kukačka nám poskytuje možnost spustit neznámou a nedůvěryhodnou aplikaci nebo soubor uvnitř izolovaného prostředí a analyzovat jeho chování.

Nastavení hostitelského počítače

Můj hostitelský počítač je Ubuntu 18.04 s 16 GB RAM. Důrazně doporučuji, abyste jako hostitelský stroj použili počítač se systémem Linux. Před instalací aplikace Cuckoo do našeho hostitelského stroje je nutné nainstalovat některé knihovny a softwarové balíčky Python. Vezměte také na vědomí, že ke spuštění aplikace Cuckoo je vyžadován jazyk python 2.7. (Cuckoo nepodporuje starší verze pythonu ani python 3).

Aktualizujte informace o balíčcích a stáhněte dostupné aktualizace.
sudo apt-get update
sudo apt-get upgrade
Dále nainstalujte závislosti pythonu potřebné pro Cuckoo:
sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
sudo apt-get install python-virtualenv python-setuptools
sudo apt-get install libjpeg-dev zlib1g-dev swig
Pro použití webového rozhraní založeného na Django je vyžadována MongoDB:
sudo apt-get install mongodb
Pro použití PostgreSQL jako databáze bude nutné nainstalovat také PostgreSQL:
sudo apt-get install postgresql libpq-dev

Dalším krokem je instalace softwaru virtuálního počítače do hostitelského počítače. Společnost Cuckoo doporučuje jako software virtuálního počítače použít VirtualBox. Doporučuje se nainstalovat VirtualBox verze 5.2. Distribuci naleznete na této webové stránce zde nebo ji můžete nainstalovat prostřednictvím aplikace Ubuntu Software.

Instalace tcpdump pro výpis síťové aktivity prováděné během provádění malwaru.sudo apt-get install tcpdump
Instalace M2Crypto. Pokud již máte nainstalovaný swig, stačí spustit druhý příkaz.
sudo apt-get install swig
sudo pip install m2crypto==0.24.0

Po instalaci těchto balíčků nyní můžete do systému nainstalovat Cuckoo. Pro instalaci spusťte následující příkazy. Nebo si můžete jednoduše stáhnout soubor zip.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Po instalaci Cuckoo musíte správně nastavit VirtualBox a jeho síť.

„Host-Only Adapter“ vytvoříte spuštěním následujícího příkazu:
vboxmanage hostonlyif create

Tento příkaz vytvoří hostitelské rozhraní vboxnet0.

Nastavte IP adresu pro rozhraní vboxnet0, které jste vytvořili dříve.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Dále můžete vytvořit virtuální počítač ve VirtualBoxu a nainstalovat operační systém. Doporučuje se systém Windows 7. Po instalaci operačního systému musíte nakonfigurovat síťový adaptér virtuálního počítače na „Host Only Adapter“. Což lze snadno provést z grafického uživatelského rozhraní,

Nastavení „Host Only Adapter“ v nastavení virtuálního počítače VirtualBox

Poté je třeba nakonfigurovat přesměrování IP, aby bylo internetové připojení směrováno z hostitelského počítače do hostujícího virtuálního počítače. Zde je rozhraní přiřazené našemu virtuálnímu počítači vboxnet0 a ip adresa virtuálního počítače je 192.168.56.101, která se nachází v podsíti 192.168.56.0/24. A odchozí rozhraní, které je připojeno k internetu, je eth0. To se může změnit v situacích, jako když jste připojeni k internetu přes wifi. Rozhraní, které je připojeno k internetu, můžete zjistit pomocí tohoto příkazu ifconfig. Zde předpokládám, že rozhraní připojené k internetu je eth0,

Po provedení těchto příkazů musíte v jádře povolit předávání IP. K tomu musíte provést následující příkazy:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Tato pravidla budou platná pouze do dalšího restartu. Chcete-li zkontrolovat, zda jste pravidla nastavili správně, můžete spustit tento příkaz:

sudo iptables -L

Nastavení hostovaného počítače

Nyní můžete začít nastavovat hostovaný počítač, který má nainstalovaný systém windows7. Nejprve nakonfigurujte nastavení síťového adaptéru následujícím způsobem,

Po změně konfigurace sítě musíte provést následující úpravy virtuálního počítače.

Zakázat Windows Update a Windows Firewall. (Obrázek)

2. Změňte nastavení Řízení uživatelských účtů. (Obrázek)

3. Nainstalujte preferované verze programů Adobe Reader, Adobe Flash Player, Microsoft Office a Java. (nepovinné)

4. Nainstalujte Python 2.7 pro Windows – Python 2.7 si můžete stáhnout odtud.

5. Nainstalujte Python 2.7 pro Windows. Nahrajte z hostitelského počítače soubor agent.py, který najdete v adresáři ~/.cuckoo/agent. Umístěte jej do složky spouštění systému Windows umístěné v „C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup“. Po restartování virtuálního počítače se zobrazí terminál otevřený ve virtuálním počítači. (Přetahování můžete povolit v nastavení VirtualBoxu. Povolte pouze přetahování z hostitele do hosta).