Articles / september 3, 2021

Installation af Cuckoo Sandbox Trin for Trin Guide(Malware Analysis Tool)

Jeg tænkte på at skrive denne artikel, fordi Cuckoo’s opsætningsproces er kompleks, og det tog mig meget tid at opsætte den. Og ønskede at hjælpe andre med at undgå disse problemer, fordi der ikke er mange vejledninger, der er nøjagtige og opdaterede.

Cuckoo er et open source automatiseret malwareanalyseværktøj, som giver dig mulighed for at analysere mange forskellige ondsindede filer, der påvirker forskellige operativsystemer som Windows, Linux, macOS og Android.

Som nogle af jer ved, er der to typer af Malwareanalyse,

1. Statisk malware-analyse – Analyse af malware uden faktisk at køre den. Vil overveje funktioner som f.eks. filnavn, MD5-checksum eller hashes, filtype, filstørrelse og genkendelse af antivirus-detektionsværktøjer.

2. Dynamisk malware-analyse – Analyse af malware ved faktisk at køre den og analysere dens adfærd som f.eks. API-kald, hukommelsesforbrug, netværkstrafik osv.(Cuckoo er et dynamisk malwareanalyseværktøj)

Hvad er sandboxing?

I computersikkerhed kører vi ukendte, uprøvede eller ikke-testede programmer eller kode, programmer i virtuelle miljøer uden at udsætte vores værtsmaskine eller styresystem for risiko. Dette kaldes sandboxing. Cuckoo giver os mulighed for at køre et ukendt og upålideligt program eller en fil i et isoleret miljø og analysere dets adfærd.

Indstilling af værtsmaskinen

Min værtsmaskine er Ubuntu 18.04 med 16 GB RAM. Jeg anbefaler på det kraftigste, at du bruger en Linux-maskine som værtsmaskine. Før Cuckoo installeres på vores værtsmaskine, er det nødvendigt at installere nogle pythonbiblioteker og softwarepakker. Vær også opmærksom på, at python 2.7 er påkrævet for at køre Cuckoo. (Cuckoo understøtter ikke ældre versioner af python eller python 3).

opdatér pakkeoplysningerne og download tilgængelige opdateringer.
sudo apt-get update
sudo apt-get upgrade
Næst skal du installere de python-afhængigheder, der er nødvendige for Cuckoo:
sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
sudo apt-get install python-virtualenv python-setuptools
sudo apt-get install libjpeg-dev zlib1g-dev swig
For at kunne bruge den Django-baserede webgrænseflade er MongoDB påkrævet:
sudo apt-get install mongodb
For at kunne bruge PostgreSQL som database skal PostgreSQL også installeres:
sudo apt-get install postgresql libpq-dev

Næste trin er at installere Virtual Machine-softwaren på din værtsmaskine. Cuckoo anbefaler at bruge VirtualBox som VM-software. Det anbefales at installere VirtualBox version 5.2. Du kan finde distributionen på dette websted her, eller du kan installere den via Ubuntu Software application.

Installer tcpdump for at dumpe den netværksaktivitet, der udføres under udførelsen af malware.sudo apt-get install tcpdump
Installer M2Crypto. Hvis du allerede har swig installeret, er det tilstrækkeligt at køre den anden kommando.
sudo apt-get install swig
sudo pip install m2crypto==0.24.0

Når du har installeret disse pakker, kan du nu installere Cuckoo på dit system. For at installere skal du køre følgende kommandoer. Eller du kan blot downloade zip-filen.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Når du har installeret Cuckoo, skal du konfigurere VirtualBox og dens netværk korrekt.

Du kan oprette “Host-Only Adapter” ved at køre følgende kommando:
vboxmanage hostonlyif create

Denne kommando vil oprette værtsgrænsefladen vboxnet0.

Sæt IP-adressen til vboxnet0-grænsefladen, som du oprettede før.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Næst kan du oprette din virtuelle maskine i VirtualBox og installere operativsystemet. Windows 7 anbefales. Efter installation af OS’et skal du konfigurere VM-netværkskortet til “Host Only Adapter”. Hvilket er nemt ved at gøre det fra GUI,

Indstilling af “Host-only Adapter” i VirtualBox VM-indstillinger

Dernæst skal du konfigurere IP forwarding, så en internetforbindelse bliver dirigeret fra værtsmaskinen til gæste-VM’en. Her er den grænseflade, der er tildelt vores VM, vboxnet0, og VM’ens IP-adresse er 192.168.56.101, som er på undernet 192.168.56.0/24. Og den udgående grænseflade, der er forbundet til internettet, er eth0. Det kan ændre sig i situationer som f.eks. når du er forbundet til internettet via wifi. Du kan finde den grænseflade, der er forbundet til internettet, ved hjælp af denne kommando, ifconfig. Her antager jeg, at den grænseflade, der er forbundet til internettet, er eth0,

Når du har udført disse kommandoer, skal du aktivere IP forwarding i kernen. Til det skal du udføre følgende kommandoer:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Disse regler vil kun være gyldige indtil den næste genstart. For at kontrollere, om du har opsat reglerne korrekt, kan du køre denne kommando:

sudo iptables -L

Opsætning af gæstemaskinen

Nu kan du begynde at opsætte gæstemaskinen, som har installeret windows7. Først skal du konfigurere netværksadapterindstillingen som følger,

Når du har ændret netværkskonfigurationer, skal du foretage følgende tilpasninger på den virtuelle maskine.

Disabler Windows Update og Windows Firewall. (Billede)

2. Ændre indstillingerne for brugerkontokontrol. (Billede)

hjælpeprogram.conf

virtualbox.conf

Ændrer parameternavnet til dit VM-navn. Standardnavnet er indstillet til “cuckoo1”.

processing.conf

rapportering.conf

Nu kan du starte Cuckoo .

Analyse ved hjælp af Cuckoo

Kør følgende kommandoer for at starte Cuckoo og Cuckoo webgrænsefladen. Kør dem i to separate terminalvinduer.
Terminal #1: cuckoo
Terminal #2: cuckoo web runserver

Derpå kan du få adgang til webgrænsefladen ved at gå til denne adresse i din foretrukne webbrowser:
goto: localhost:8000

Webgrænsefladen vil se ud som følger, når den er indlæst:

Universe

Installation af Cuckoo Sandbox Trin for Trin Guide(Malware Analysis Tool)

Hvad er sandboxing?

Indstilling af værtsmaskinen

Opsætning af gæstemaskinen

Change Cuckoo Software Configuration

Analyse ved hjælp af Cuckoo

Leave a Reply Cancel