Articles /

Cuckoo-hiekkalaatikon asentaminen Askel askeleelta opas(Malware Analysis Tool)

Ajattelin kirjoittaa tämän artikkelin, koska Cuckoon asennusprosessi on monimutkainen ja sen asentaminen vei minulta paljon aikaa. Ja halusin auttaa muita välttämään nämä ongelmat, koska ei ole paljon oppaita, jotka ovat tarkkoja ja ajan tasalla.

Cuckoo on avoimen lähdekoodin automatisoitu haittaohjelmien analysointityökalu, jonka avulla voit analysoida monia erilaisia haittaohjelmatiedostoja, jotka vaikuttavat erilaisiin käyttöjärjestelmiin, kuten Windowsiin, Linuxiin, macOS:iin ja Androidiin.

Kuten jotkut teistä tietävätkin, haittaohjelmistojen analysoinnissa on kahta erilaista tyyppiä,

1. Staattinen haittaohjelma-analyysi – Haittaohjelman analysointi ilman sen varsinaista suorittamista. Otetaan huomioon sellaiset ominaisuudet kuin tiedoston nimi, MD5-tarkistussummat tai hashit, tiedostotyyppi, tiedostokoko ja tunnistaminen virustorjuntatyökaluilla.

2. Dynaaminen haittaohjelma-analyysi – Analysoidaan haittaohjelmaa ajamalla sitä ja analysoidaan sen käyttäytymistä, kuten API-kutsuja, muistinkäyttöä, verkkoliikennettä jne.(Cuckoo on dynaaminen haittaohjelmien analysointityökalu)

Mitä on hiekkalaatikointi?

Tietokoneturvallisuudessa ajetaan tuntemattomia, testaamattomia tai epäluotettavia ohjelmia tai koodia, ohjelmia virtuaaliympäristöissä ilman, että isäntäkoneemme tai käyttöjärjestelmämme joutuu vaaraan. Tätä kutsutaan hiekkalaatikoksi. Cuckoo antaa meille mahdollisuuden ajaa tuntematonta ja epäluotettavaa sovellusta tai tiedostoa eristetyssä ympäristössä ja analysoida sen käyttäytymistä.

Isäntäkoneen asettaminen

Isäntäkoneeni on Ubuntu 18.04, jossa on 16GB RAM-muistia. Suosittelen vahvasti käyttämään Linux-konetta isäntäkoneena. Ennen Cuckoon asentamista isäntäkoneeseemme on asennettava joitakin python-kirjastoja ja ohjelmistopaketteja. Ota myös huomioon, että Cuckoon käyttäminen edellyttää python 2.7:ää. (Cuckoo ei tue vanhempia python- tai python 3 -versioita).

  • Päivitä pakettitiedot ja lataa saatavilla olevat päivitykset.
    sudo apt-get update
    sudo apt-get upgrade
  • Asenna seuraavaksi Cuckoon tarvitsemat python-riippuvuudet:
    sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
    sudo apt-get install python-virtualenv python-setuptools
    sudo apt-get install libjpeg-dev zlib1g-dev swig
  • Django-pohjaisen web-käyttöliittymän käyttämiseen tarvitaan MongoDB:
    sudo apt-get install mongodb
  • Käyttääksemme PostgreSQL:ää tietokantana on asennettava myös PostgreSQL:
    sudo apt-get install postgresql libpq-dev

Jatkossa asennetaan virtuaalikoneen ohjelmisto isäntäkoneeseen. Cuckoo suosittelee käyttämään VirtualBoxia VM-ohjelmistona. On suositeltavaa asentaa VirtualBoxin versio 5.2. Löydät jakelun tältä sivustolta täältä tai voit asentaa sen Ubuntu-ohjelmistosovelluksen kautta.

  • Asenna tcpdump, jotta voit dumpata haittaohjelman suorittamisen aikana suoritetun verkkotoiminnan.sudo apt-get install tcpdump
  • Asenna M2Crypto. Jos sinulla on jo swig asennettuna, toisen komennon suorittaminen riittää.
    sudo apt-get install swig
    sudo pip install m2crypto==0.24.0

Näiden pakettien asentamisen jälkeen voit nyt asentaa Cuckoon järjestelmääsi. Asennusta varten suorita seuraavat komennot. Tai voit yksinkertaisesti ladata zip-tiedoston.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Cuckoo:n asentamisen jälkeen sinun on asetettava VirtualBox ja sen verkko oikein.

  • Voit luoda ”Host-Only Adapterin” suorittamalla seuraavan komennon:
    vboxmanage hostonlyif create

Komennolla luodaan host-liitäntä vboxnet0.

  • Aseta IP-osoite aiemmin luomallesi vboxnet0-liitännälle.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Seuraavaksi voit luoda virtuaalikoneen VirtualBoxissa ja asentaa käyttöjärjestelmän. Windows 7 on suositeltava. Käyttöjärjestelmän asentamisen jälkeen sinun on määritettävä VM:n verkkosovittimeksi ”Host Only Adapter”. Mikä on helppo tehdä tekemällä se graafisesta käyttöliittymästä,

VirtualBoxin VM-asetuksissa ”Vain isäntäverkkosovittimen” asettaminen

Sen jälkeen sinun täytyy konfiguroida IP-tiedonsiirto (IP-forwarding) niin, että internetyhteys saadaan reititettyä isäntäkoneesta vieras-VM:ään. Tässä VM:lle määritetty liitäntä on vboxnet0 ja VM:n ip-osoite on 192.168.56.101, joka on aliverkossa 192.168.56.0/24. Ja lähtevä liitäntä, joka on yhdistetty internetiin, on eth0. Se voi muuttua esimerkiksi silloin, kun olet yhteydessä internetiin wlanin kautta. Voit selvittää internetiin yhdistetyn liitännän tällä komennolla, ifconfig. Tässä oletan, että internetiin liitetty rajapinta on eth0,

Tämän komennon suorittamisen jälkeen sinun on otettava IP-tiedonsiirto käyttöön ytimessä. Sitä varten on suoritettava seuraavat komennot:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Nämä säännöt ovat voimassa vain seuraavaan uudelleenkäynnistykseen asti. Voit tarkistaa, oletko asettanut säännöt oikein, suorittamalla tämän komennon:

sudo iptables -L

Vieraskoneen asettaminen

Nyt voit aloittaa vieraskoneen asettamisen, johon on asennettu windows7. Määritä ensin verkkosovittimen asetukset seuraavasti,

  • Verkkokonfiguraatioiden muuttamisen jälkeen sinun täytyy tehdä VM:lle seuraavat mukautukset.
  1. Poista Windows Update ja Windows Firewall käytöstä. (Kuva)

2. Muuta User Account Control -asetuksia. (Kuva)

3. Asenna haluamasi versiot Adobe Readerista, Adobe Flash Playerista, Microsoft Officesta ja Javasta. (valinnainen)

4. Asenna python 2.7 Windowsille – Voit ladata python 2.7:n täältä.

5. Asenna python 2.7 Windowsille. Lataa isäntäkoneeltasi agent.py-tiedosto, joka löytyy hakemistosta ~/.cuckoo/agent. Laita se Windowsin käynnistyskansioon, joka sijaitsee osoitteessa ”C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup”. Kun olet käynnistänyt VM:n uudelleen, näet VM:ssä avatun päätteen. (Voit ottaa raahauksen ja pudotuksen käyttöön VirtualBoxin asetuksissa. Enable only to Drag and Drop from host to guest).

Change Cuckoo Software Configuration

Cuckoo-konfiguraatiotiedostot sijaitsevat hakemistossa ~/.cuckoo/conf. Voit avata nämä tiedostot geditissä tällä komennolla:

sudo gedit cuckoo.conf

Tee seuraavat muutokset conf-tiedostoihin.

cuckoo.conf

apuohjelma.conf

virtualbox.conf

Vaihda parametrin nimi VM:n nimeen. conf

Nyt kun olet saanut konfiguroinnin valmiiksi, voit käynnistää Cuckoon .

Analysointi Cuckoo:n avulla

Ajoita seuraavat komennot käynnistääksesi Cuckoo:n ja Cuckoo:n webkäyttöliittymän. Suorita ne kahdessa erillisessä terminaali-ikkunassa.
Terminaali #1: cuckoo
Terminaali #2: cuckoo web runserver

Sitten voit käyttää web-käyttöliittymää menemällä tähän osoitteeseen suosikkiselaimellasi:
goto: localhost:8000

Webkäyttöliittymä näyttää ladattuna samankaltaiselta kuin tämä:

Leave a Reply