Articles /

A Cuckoo Sandbox beállítása lépésről lépésre útmutató(Malware Analysis Tool)

Azért gondoltam, hogy megírom ezt a cikket, mert a Cuckoo beállítási folyamata összetett, és sok időmbe telt a beállítása. És segíteni akartam másoknak, hogy elkerüljék ezeket a problémákat, mert nem sok olyan útmutató van, amely pontos és naprakész.

A Cuckoo egy nyílt forráskódú automatizált malware elemző eszköz, amely lehetővé teszi, hogy elemezzen sok különböző rosszindulatú fájlt, amelyek különböző operációs rendszereket érintenek, mint például a Windows, Linux, macOS és Android.

Amint azt néhányan tudják, kétféle malware elemzés létezik,

1. Statikus malware elemzés – A malware elemzése a tényleges futtatás nélkül. Olyan jellemzőket vesz figyelembe, mint a fájlnév, MD5 ellenőrző összeg vagy hash, fájltípus, fájlméret és a vírusirtó eszközök általi felismerés.

2. Dinamikus malware elemzés – A malware elemzése a tényleges futtatásával, és a viselkedésének elemzése, mint az API hívások, memóriahasználat, hálózati forgalom stb.(A Cuckoo egy dinamikus malware-elemző eszköz)

Mi a Sandboxing?

A számítógépes biztonságban ismeretlen, nem tesztelt vagy nem megbízható programokat vagy kódokat, programokat futtatunk virtuális környezetben anélkül, hogy a gazdagépünket vagy az operációs rendszert veszélyeztetnénk. Ezt nevezzük sandboxingnak. A Cuckoo lehetőséget ad arra, hogy egy ismeretlen és nem megbízható alkalmazást vagy fájlt egy elszigetelt környezetben futtassunk, és elemezzük a viselkedését.

A gazdagép beállítása

A gazdagépem Ubuntu 18.04, 16 GB RAM-mal. Erősen ajánlom, hogy Linux gépet használjon gazdagépként. Mielőtt a Cuckoo-t telepítenénk a gazdagépünkre, szükséges néhány python könyvtár és szoftvercsomag telepítése. Vegyük figyelembe azt is, hogy a Cuckoo futtatásához a python 2.7 szükséges. (A Cuckoo nem támogatja a python régebbi verzióit vagy a python 3-t.)

  • Frissítsük a csomaginformációkat és töltsük le a rendelkezésre álló frissítéseket.
    sudo apt-get update
    sudo apt-get upgrade
  • A következőkben telepítse a Cuckoo-hoz szükséges python függőségeket:
    sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
    sudo apt-get install python-virtualenv python-setuptools
    sudo apt-get install libjpeg-dev zlib1g-dev swig
  • A Django alapú webes felület használatához szükséges a MongoDB:
    sudo apt-get install mongodb
  • A PostgreSQL adatbázisként való használatához a PostgreSQL-t is telepíteni kell:
    sudo apt-get install postgresql libpq-dev

A következő lépés a Virtual Machine szoftver telepítése a gazdagépre. A Cuckoo a VirtualBox használatát ajánlja VM szoftverként. Ajánlott a VirtualBox 5.2-es verziójának telepítése. A disztribúciót ezen a weboldalon itt találja, vagy telepítheti az Ubuntu szoftveralkalmazáson keresztül.

  • Telepítse a tcpdumpot a rosszindulatú program végrehajtása során végzett hálózati tevékenység dumpolásához. sudo apt-get install tcpdump
  • Telepítse az M2Crypto-t. Ha már telepítettük a swig-et, a második parancs futtatása elegendő.
    sudo apt-get install swig
    sudo pip install m2crypto==0.24.0

A csomagok telepítése után most már telepíthetjük a Cuckoo-t a rendszerünkre. A telepítéshez futtassa a következő parancsokat. Vagy egyszerűen letöltheti a zip fájlt.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

A Cuckoo telepítése után helyesen kell beállítani a VirtualBoxot és annak hálózatát.

  • A “Host-Only adaptert” a következő parancs futtatásával hozhatjuk létre:
    vboxmanage hostonlyif create

Ez a parancs létrehozza a vboxnet0 host interfészt.

  • Adja meg a korábban létrehozott vboxnet0 interfész IP-címét.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Ezután létrehozhatja a virtuális gépet a VirtualBoxban és telepítheti az operációs rendszert. A Windows 7 ajánlott. Az operációs rendszer telepítése után a VM hálózati adapterét “Host Only Adapter”-re kell konfigurálni. Ami könnyen elvégezhető a GUI-ból,

“Host-only Adapter” beállítása a VirtualBox VM beállításaiban

Ezután be kell állítania az IP-továbbítást, hogy az internetkapcsolat a host gépről a vendég VM-re kerüljön. Itt a VM-ünkhöz rendelt interfész a vboxnet0, a VM ip-címe pedig 192.168.56.101, amely a 192.168.56.0/24 alhálózatban van. Az internetre csatlakozó kimenő interfész pedig az eth0. Ez változhat olyan helyzetekben, mint például amikor wifin keresztül csatlakozik az internethez. Az internethez csatlakozó interfészt az ifconfig paranccsal találhatja meg. Itt feltételezem, hogy az internethez csatlakozó interfész eth0,

A parancsok végrehajtása után engedélyeznie kell az IP-továbbítást a kernelben. Ehhez a következő parancsokat kell végrehajtani:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Ezek a szabályok csak a következő újraindításig lesznek érvényesek. Hogy ellenőrizze, hogy helyesen állította-e be a szabályokat, futtathatja ezt a parancsot:

sudo iptables -L

A vendéggép beállítása

Most elkezdheti a vendéggép beállítását, amelyre a windows7-et telepítette. Először a hálózati adapter beállítását konfigurálja az alábbiak szerint,

  • A hálózati konfigurációk módosítása után a következő beállításokat kell elvégeznie a VM-en.
  1. A Windows Update és a Windows tűzfal kikapcsolása. (Kép)

2. Módosítsa a felhasználói fiókvezérlés beállításait. (Kép)

3. Telepítse az Adobe Reader, Adobe Flash Player, Microsoft Office és Java kívánt verzióit. (opcionális)

4. Telepítse a python 2.7-et Windowsra – A python 2.7-et innen töltheti le.

5. Töltse fel az agent.py fájlt a gazdagépéről, amely a ~/.cuckoo/agent könyvtárban található. Tegye a “C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup” mappába. A VM újraindítása után egy terminált fog látni a VM-ben megnyitva. (A VirtualBox beállításaiban engedélyezheti a drag and drop-ot. Engedélyezze csak a Drag and Drop-t a hostról a vendégre).

Change Cuckoo Software Configuration

A cuckoo konfigurációs fájlok a ~/.cuckoo/conf könyvtárban találhatók. Ezeket a fájlokat a gedit programban a következő paranccsal nyithatja meg:

sudo gedit cuckoo.conf

Végezze el a következő módosításokat a conf fájlokban.

cuckoo.conf

kisegítő.conf

virtualbox.conf

Változtassa meg a paraméter nevét a VM nevére. Az alapértelmezetten beállított név ‘cuckoo1’.

processing.conf

reporting.conf

Most befejezte a konfigurálást, elindíthatja a Cuckoo-t .

Analízis a Cuckoo használatával

A Cuckoo és a Cuckoo webes felületének elindításához futtassa a következő parancsokat. Futtassa ezeket két külön terminálablakban.
1. terminál: cuckoo
2. terminál: cuckoo web runserver

Ezután a webes felületet elérheti, ha erre a címre lép kedvenc webböngészőjében:
goto: localhost:8000

A webes felület betöltés után így fog kinézni:

Leave a Reply