Articles / Settembre 3, 2021

Impostazione di Cuckoo Sandbox Guida passo dopo passo (Malware Analysis Tool)

Ho pensato di scrivere questo articolo perché il processo di impostazione di Cuckoo è complesso e mi ha richiesto molto tempo per impostarlo. E volevo aiutare gli altri ad evitare questi problemi perché non ci sono molte guide che sono accurate e aggiornate.

Cuckoo è uno strumento di analisi malware automatizzato open-source, che dà permette di analizzare molti diversi file dannosi che colpiscono diversi sistemi operativi come Windows, Linux, macOS e Android.

Come alcuni di voi sanno, ci sono due tipi di analisi malware,

1. Analisi statica del malware – Analizzare il malware senza eseguirlo effettivamente. Prenderà in considerazione caratteristiche come il nome del file, le checksum MD5 o gli hash, il tipo di file, la dimensione del file e il riconoscimento da parte degli strumenti di rilevamento antivirus.

2. Analisi dinamica del malware – Analizzando il malware eseguendolo effettivamente, e analizzando i suoi comportamenti come le chiamate API, l’utilizzo della memoria, il traffico di rete, ecc.(Cuckoo è uno strumento di analisi dinamica del malware)

Che cos’è il sandboxing?

Nella sicurezza informatica, eseguiamo programmi o codice sconosciuti, non testati o non fidati, programmi in ambienti virtuali senza mettere a rischio la nostra macchina ospite o il sistema operativo. Questo è chiamato sandboxing. Cuckoo ci dà la possibilità di eseguire un’applicazione o un file sconosciuto e non fidato all’interno di un ambiente isolato e analizzare il suo comportamento.

Impostazione della macchina host

La mia macchina host è Ubuntu 18.04 con 16GB di RAM. Vi consiglio vivamente di usare una macchina Linux come macchina host. Prima di installare Cuckoo nella nostra macchina host, è necessario installare alcune librerie python e pacchetti software. Inoltre, prendete nota che python 2.7 è richiesto per eseguire Cuckoo. (Cuckoo non supporta versioni precedenti di python o python 3).

Aggiorna le informazioni sul pacchetto e scarica gli aggiornamenti disponibili.
sudo apt-get update
sudo apt-get upgrade
In seguito, installare le dipendenze di python necessarie per Cuckoo:
sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
sudo apt-get install python-virtualenv python-setuptools
sudo apt-get install libjpeg-dev zlib1g-dev swig
Per usare l’interfaccia web basata su Django, è necessario MongoDB:
sudo apt-get install mongodb
Per poter utilizzare PostgreSQL come database dovrà essere installato anche PostgreSQL:
sudo apt-get install postgresql libpq-dev

Il prossimo passo è installare il software della macchina virtuale nella tua macchina host. Cuckoo raccomanda di usare VirtualBox come software della macchina virtuale. Si raccomanda di installare la versione 5.2 di VirtualBox. Puoi trovare la distribuzione su questo sito web qui o puoi installarla tramite l’applicazione Ubuntu Software.

Installa tcpdump per scaricare l’attività di rete eseguita durante l’esecuzione del malware.sudo apt-get install tcpdump
Installa M2Crypto. Se hai già installato swig, è sufficiente eseguire il secondo comando.
sudo apt-get install swig
sudo pip install m2crypto==0.24.0

Dopo aver installato questi pacchetti, ora puoi installare Cuckoo sul tuo sistema. Per installare esegui i seguenti comandi. Oppure puoi semplicemente scaricare il file zip.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Dopo aver installato Cuckoo, devi impostare correttamente VirtualBox e la sua rete.

Puoi creare “Host-Only Adapter” eseguendo il seguente comando:
vboxmanage hostonlyif create

Questo comando creerà l’interfaccia host vboxnet0.

Imposta l’indirizzo IP per l’interfaccia vboxnet0 che hai creato prima.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

In seguito, puoi creare la tua macchina virtuale in VirtualBox e installare il sistema operativo. Windows 7 è raccomandato. Dopo aver installato il sistema operativo, devi configurare l’adattatore di rete della VM su “Host Only Adapter”. Il che è facile facendolo dalla GUI,

Impostare “Host-only Adapter” nelle impostazioni di VirtualBox VM

Dopo di che, è necessario configurare l’IP forwarding in modo che una connessione internet venga instradata dalla macchina host alla VM ospite. Qui l’interfaccia assegnata alla nostra VM è vboxnet0 e l’indirizzo IP della VM è 192.168.56.101 che è sulla subnet di 192.168.56.0/24. E l’interfaccia in uscita che è collegata a internet è eth0. Può cambiare in situazioni come quando si è connessi a internet via wifi. Puoi trovare l’interfaccia che è connessa a internet con questo comando, ifconfig. Qui sto assumendo che l’interfaccia connessa a internet sia eth0,

Dopo aver eseguito questi comandi devi abilitare l’inoltro IP nel kernel. Per questo, devi eseguire i seguenti comandi:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Queste regole saranno valide solo fino al prossimo riavvio. Per controllare se hai impostato correttamente le regole, puoi eseguire questo comando:

sudo iptables -L

Impostare la macchina ospite

Ora puoi iniziare a impostare la macchina ospite che ha installato windows7. Per prima cosa, configura l’impostazione dell’adattatore di rete come segue,

Dopo aver cambiato le configurazioni di rete, devi fare le seguenti personalizzazioni alla VM.

Disabilita Windows Update e Windows Firewall. (Immagine)

2. Cambia le impostazioni di controllo dell’account utente. (Immagine)

3. Installare le versioni preferite di Adobe Reader, Adobe Flash Player, Microsoft Office e Java. (opzionale)

4. Installa python 2.7 per Windows – Puoi scaricare python 2.7 da qui.

5. Carica il file agent.py dalla tua macchina host che può essere trovato nella directory ~/.cuckoo/agent. Mettilo nella cartella di avvio di Windows che si trova in “C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup”. Dopo aver riavviato la VM potrai vedere un terminale aperto nella VM. (Puoi abilitare il drag and drop nelle impostazioni di VirtualBox. Abilita solo il Drag and Drop dall’host al guest).