Articles /

Cuckoo Sandbox Schritt für Schritt einrichten (Malware-Analyse-Tool)

Ich habe mir überlegt, diesen Artikel zu schreiben, weil der Einrichtungsprozess von Cuckoo komplex ist und mich viel Zeit gekostet hat, ihn einzurichten. Und ich wollte anderen helfen, diese Probleme zu vermeiden, weil es nicht viele Anleitungen gibt, die genau und aktuell sind.

Cuckoo ist ein Open-Source-Tool zur automatisierten Malware-Analyse, mit dem man viele verschiedene bösartige Dateien analysieren kann, die verschiedene Betriebssysteme wie Windows, Linux, macOS und Android betreffen.

Wie einige von euch wissen, gibt es zwei Arten der Malware-Analyse,

1. Statische Malware-Analyse – Analysiert Malware, ohne sie tatsächlich auszuführen. Dabei werden Merkmale wie Dateinamen, MD5-Prüfsummen oder Hashes, Dateityp, Dateigröße und Erkennung durch Antiviren-Tools berücksichtigt.

2. Dynamische Malware-Analyse – Analyse von Malware, indem sie tatsächlich ausgeführt wird, und Analyse ihres Verhaltens wie API-Aufrufe, Speichernutzung, Netzwerkverkehr usw.(Cuckoo ist ein dynamisches Malware-Analysetool)

Was ist Sandboxing?

In der Computersicherheit führen wir unbekannte, ungetestete oder nicht vertrauenswürdige Programme oder Codes in virtuellen Umgebungen aus, ohne unseren Host-Rechner oder das Betriebssystem zu gefährden. Dies wird als Sandboxing bezeichnet. Cuckoo gibt uns die Möglichkeit, eine unbekannte und nicht vertrauenswürdige Anwendung oder Datei in einer isolierten Umgebung auszuführen und ihr Verhalten zu analysieren.

Einrichten des Host-Rechners

Mein Host-Rechner ist Ubuntu 18.04 mit 16 GB RAM. Ich empfehle Ihnen dringend, einen Linux-Rechner als Host-Rechner zu verwenden. Vor der Installation von Cuckoo auf unserem Host-Rechner müssen einige Python-Bibliotheken und Software-Pakete installiert werden. Beachten Sie bitte auch, dass Python 2.7 erforderlich ist, um Cuckoo zu starten. (Cuckoo unterstützt keine älteren Versionen von Python oder Python 3).

  • Aktualisieren Sie die Paketinformationen und laden Sie verfügbare Updates herunter.
    sudo apt-get update
    sudo apt-get upgrade
  • Nachfolgend installieren Sie die für Cuckoo benötigten Python-Abhängigkeiten:
    sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
    sudo apt-get install python-virtualenv python-setuptools
    sudo apt-get install libjpeg-dev zlib1g-dev swig
  • Um das Django-basierte Webinterface nutzen zu können, wird MongoDB benötigt:
    sudo apt-get install mongodb
  • Um PostgreSQL als Datenbank zu verwenden, muss auch PostgreSQL installiert werden:
    sudo apt-get install postgresql libpq-dev

Der nächste Schritt ist die Installation der Software für die virtuelle Maschine auf dem Host-Rechner. Cuckoo empfiehlt die Verwendung von VirtualBox als VM-Software. Es wird empfohlen, die VirtualBox Version 5.2 zu installieren. Sie finden die Distribution auf dieser Website hier oder Sie können sie über die Ubuntu-Softwareanwendung installieren.

  • Installieren Sie tcpdump, um die Netzwerkaktivität während der Ausführung der Malware aufzuzeichnen.sudo apt-get install tcpdump
  • Installieren Sie M2Crypto. Wenn Sie swig bereits installiert haben, reicht es aus, den zweiten Befehl auszuführen.
    sudo apt-get install swig
    sudo pip install m2crypto==0.24.0

Nach der Installation dieser Pakete können Sie nun Cuckoo auf Ihrem System installieren. Zur Installation führen Sie die folgenden Befehle aus. Oder Sie können einfach die Zip-Datei herunterladen.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Nach der Installation von Cuckoo müssen Sie die VirtualBox und das Netzwerk richtig einrichten.

  • Sie können einen „Host-Only Adapter“ erstellen, indem Sie den folgenden Befehl ausführen:
    vboxmanage hostonlyif create

Dieser Befehl erstellt die Host-Schnittstelle vboxnet0.

  • Setzen Sie die IP-Adresse für die vboxnet0-Schnittstelle, die Sie zuvor erstellt haben.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Nächste können Sie Ihre virtuelle Maschine in VirtualBox erstellen und das Betriebssystem installieren. Empfohlen wird Windows 7. Nach der Installation des Betriebssystems müssen Sie den Netzwerkadapter der VM auf „Host Only Adapter“ konfigurieren. Das geht ganz einfach über die GUI,

Einstellung „Nur-Host-Adapter“ in den VirtualBox VM-Einstellungen

Danach müssen Sie die IP-Weiterleitung konfigurieren, damit eine Internetverbindung vom Host-Rechner zur Gast-VM geroutet wird. Hier ist die unserer VM zugewiesene Schnittstelle vboxnet0 und die IP-Adresse der VM ist 192.168.56.101, die sich im Subnetz 192.168.56.0/24 befindet. Und die ausgehende Schnittstelle, die mit dem Internet verbunden ist, ist eth0. Sie kann sich ändern, wenn Sie beispielsweise über WLAN mit dem Internet verbunden sind. Sie können die Schnittstelle, die mit dem Internet verbunden ist, mit diesem Befehl, ifconfig, herausfinden. Hier nehme ich an, dass die Schnittstelle, die mit dem Internet verbunden ist, eth0,

Nach der Ausführung dieser Befehle müssen Sie die IP-Weiterleitung im Kernel aktivieren. Dazu müssen Sie die folgenden Befehle ausführen:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Diese Regeln sind nur bis zum nächsten Neustart gültig. Um zu überprüfen, ob Sie die Regeln korrekt eingerichtet haben, können Sie diesen Befehl ausführen:

sudo iptables -L

Einrichten des Gastrechners

Jetzt können Sie mit dem Einrichten des Gastrechners beginnen, auf dem Windows 7 installiert ist. Konfigurieren Sie zunächst die Netzwerkadaptereinstellungen wie folgt,

  • Nachdem Sie die Netzwerkkonfigurationen geändert haben, müssen Sie die folgenden Anpassungen an der VM vornehmen.
  1. Deaktivieren Sie Windows Update und Windows Firewall. (Bild)

2. Ändern Sie die Einstellungen der Benutzerkontensteuerung. (Bild)

3. Installieren Sie die gewünschten Versionen von Adobe Reader, Adobe Flash Player, Microsoft Office und Java. (optional)

4. Installieren Sie python 2.7 für Windows – Sie können python 2.7 von hier herunterladen.

5. Laden Sie die Datei agent.py von Ihrem Rechner hoch, die sich im Verzeichnis ~/.cuckoo/agent befindet. Legen Sie sie in den Windows-Startordner unter „C:\Benutzer\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programme\Startup“. Nach dem Neustart der VM sehen Sie ein in der VM geöffnetes Terminal. (Sie können Drag and Drop in den VirtualBox-Einstellungen aktivieren. Aktivieren Sie nur Drag and Drop vom Host zum Gast).

Ändern Sie die Cuckoo Software Konfiguration

Die Cuckoo Konfigurationsdateien befinden sich im ~/.cuckoo/conf Verzeichnis. Sie können diese Dateien mit diesem Befehl in gedit öffnen:

sudo gedit cuckoo.conf

Nehmen Sie die folgenden Änderungen in den conf-Dateien vor.

cuckoo.conf

auxiliary.conf

virtualbox.conf

Ändern Sie den Parameternamen auf den Namen Ihrer VM. Der Standardname ist ‚cuckoo1‘.

processing.conf

reporting.conf

Nachdem Sie die Konfiguration abgeschlossen haben, können Sie Cuckoo starten.

Analyse mit Cuckoo

Führen Sie die folgenden Befehle aus, um Cuckoo und das Cuckoo-Webinterface zu starten. Führen Sie diese in zwei separaten Terminalfenstern aus.
Terminal #1: cuckoo
Terminal #2: cuckoo web runserver

Dann können Sie auf das Webinterface zugreifen, indem Sie diese Adresse in Ihrem bevorzugten Webbrowser aufrufen:
goto: localhost:8000

Das Webinterface sieht dann so ähnlich aus:

Leave a Reply