Articles /

Configuration de Cuckoo Sandbox Guide étape par étape(Outil d’analyse de logiciels malveillants)

J’ai pensé à écrire cet article car le processus de configuration de Cuckoo est complexe et cela m’a pris beaucoup de temps pour le configurer. Et je voulais aider les autres à éviter ces problèmes car il n’y a pas beaucoup de guides qui sont précis et à jour.

Cuckoo est un outil d’analyse de logiciels malveillants automatisé open-source, qui donne permet d’analyser de nombreux fichiers malveillants différents qui affectent différents systèmes d’exploitation tels que Windows, Linux, macOS et Android.

Comme certains d’entre vous le savent, il existe deux types d’analyse de logiciels malveillants,

1. Analyse statique des logiciels malveillants – Analyser les logiciels malveillants sans les exécuter réellement. Tiendra compte de caractéristiques telles que le nom du fichier, les sommes de contrôle ou les hachages MD5, le type de fichier, la taille du fichier et la reconnaissance par les outils de détection antivirus.

2. Analyse dynamique des logiciels malveillants – Analyse des logiciels malveillants en les exécutant réellement et en analysant leurs comportements tels que les appels API, les utilisations de la mémoire, le trafic réseau, etc.(Cuckoo est un outil d’analyse dynamique des logiciels malveillants)

Qu’est-ce que le sandboxing ?

En sécurité informatique, nous exécutons des programmes ou des codes inconnus, non testés ou non fiables, des programmes dans des environnements virtuels sans mettre notre machine hôte ou notre système d’exploitation en danger. C’est ce qu’on appelle le sandboxing. Cuckoo nous donne la possibilité d’exécuter une application ou un fichier inconnu et non fiable à l’intérieur d’un environnement isolé et d’analyser son comportement.

Configuration de la machine hôte

Ma machine hôte est Ubuntu 18.04 avec 16 Go de RAM. Je vous conseille vivement d’utiliser une machine Linux comme machine hôte. Avant d’installer Cuckoo sur notre machine hôte, il est nécessaire d’installer certaines bibliothèques et paquets logiciels python. Notez également que python 2.7 est nécessaire pour faire fonctionner Cuckoo. (Cuckoo ne supporte pas les anciennes versions de python ou python 3).

  • Mettre à jour les informations sur les paquets et télécharger les mises à jour disponibles.
    sudo apt-get update
    sudo apt-get upgrade
  • Puis, installez les dépendances python requises pour Cuckoo :
    sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
    sudo apt-get install python-virtualenv python-setuptools
    sudo apt-get install libjpeg-dev zlib1g-dev swig
  • Pour utiliser l’interface Web basée sur Django, MongoDB est nécessaire :
    sudo apt-get install mongodb
  • Pour utiliser PostgreSQL comme base de données, PostgreSQL devra également être installé :
    sudo apt-get install postgresql libpq-dev

La prochaine étape consiste à installer le logiciel de la machine virtuelle dans votre machine hôte. Cuckoo recommande d’utiliser VirtualBox comme logiciel de machine virtuelle. Il est recommandé d’installer la version 5.2 de VirtualBox. Vous pouvez trouver la distribution sur ce site ici ou vous pouvez l’installer via l’application Ubuntu Software.

  • Installer tcpdump pour dump l’activité réseau effectuée pendant l’exécution du malware.sudo apt-get install tcpdump
  • Installer M2Crypto. Si vous avez déjà installé swig, l’exécution de la deuxième commande est suffisante.
    sudo apt-get install swig
    sudo pip install m2crypto==0.24.0

Après avoir installé ces paquets, vous pouvez maintenant installer Cuckoo sur votre système. Pour l’installer, exécutez les commandes suivantes. Ou vous pouvez simplement télécharger le fichier zip.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Après avoir installé Cuckoo, vous devez configurer correctement la VirtualBox et son réseau.

  • Vous pouvez créer « Host-Only Adapter » en exécutant la commande suivante:
    vboxmanage hostonlyif create

Cette commande créera l’interface hôte vboxnet0.

  • Définissez l’adresse IP pour l’interface vboxnet0 que vous avez créée auparavant.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Puis, vous pouvez créer votre machine virtuelle dans VirtualBox et installer le système d’exploitation. Windows 7 est recommandé. Après l’installation du système d’exploitation, vous devez configurer l’adaptateur réseau de la machine virtuelle en tant qu' »adaptateur hôte uniquement ». Ce qui est facile en le faisant à partir du GUI,

Setting « Host-only Adapter » in VirtualBox VM settings

Après cela, vous devez configurer la redirection IP afin qu’une connexion internet soit acheminée de la machine hôte vers la VM invitée. Ici l’interface assignée à notre VM est vboxnet0 et l’adresse IP de la VM est 192.168.56.101 qui est sur le sous-réseau de 192.168.56.0/24. Et l’interface sortante qui est connectée à l’internet est eth0. Elle peut changer dans certaines situations, par exemple lorsque vous êtes connecté à l’Internet par wifi. Vous pouvez trouver l’interface qui est connectée à l’internet par cette commande, ifconfig. Ici, je suppose que l’interface connectée à l’internet est eth0,

Après avoir exécuté ces commandes, vous devez activer la redirection IP dans le noyau. Pour cela, vous devez exécuter les commandes suivantes :

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Ces règles ne seront valables que jusqu’au prochain redémarrage. Pour vérifier si vous avez configuré les règles correctement, vous pouvez exécuter cette commande:

sudo iptables -L

Configuration de la machine invitée

Maintenant, vous pouvez commencer à configurer la machine invitée qui a installé windows7. Tout d’abord, configurez le paramètre de l’adaptateur réseau comme suit,

  • Après avoir modifié les configurations réseau, vous devez effectuer les personnalisations suivantes sur la VM.
  1. Désactiver Windows Update et le pare-feu Windows. (Image)

2. Modifier les paramètres du contrôle de compte utilisateur. (Image)

3. Installez vos versions préférées d’Adobe Reader, Adobe Flash Player, Microsoft Office et Java. (facultatif)

4. Installez python 2.7 pour Windows – Vous pouvez télécharger python 2.7 ici.

5. Téléchargez le fichier agent.py de votre machine hôte qui se trouve dans le répertoire ~/.cuckoo/agent. Placez-le dans le dossier de démarrage de Windows situé dans « C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup ». Après avoir redémarré la VM, vous pourrez voir un terminal ouvert dans la VM. (Vous pouvez activer le glisser-déposer dans les paramètres de VirtualBox. Activez seulement pour glisser et déposer de l’hôte vers l’invité).

Changer la configuration du logiciel Cuckoo

Les fichiers de configuration de cuckoo sont situés dans le répertoire ~/.cuckoo/conf. Vous pouvez ouvrir ces fichiers dans gedit en utilisant cette commande:

sudo gedit cuckoo.conf

Affectuez les modifications suivantes dans les fichiers conf.

cuckoo.conf

auxiliaire.conf

virtualbox.conf

Changez le nom du paramètre pour le nom de votre VM. Le nom par défaut est ‘cuckoo1’.

processing.conf

reporting.conf

Maintenant que vous avez terminé la configuration, vous pouvez démarrer Cuckoo .

Analyse en utilisant Cuckoo

Exécutez les commandes suivantes pour démarrer Cuckoo et l’interface web de Cuckoo. Exécutez-les dans deux fenêtres de terminal distinctes.
Terminal #1 : cuckoo
Terminal #2 : cuckoo web runserver

Puis vous pouvez accéder à l’interface web en allant à cette adresse dans votre navigateur web préféré :
goto : localhost:8000

L’interface web ressemblera à ceci une fois chargée:

.

Leave a Reply