Het opzetten van Cuckoo Sandbox Stap voor Stap Gids(Malware Analyse Tool)

Ik dacht eraan om dit artikel te schrijven omdat het setup proces van Cuckoo complex is en het me veel tijd kostte om het op te zetten. En wilde anderen helpen deze problemen te voorkomen, omdat er niet veel gidsen zijn die nauwkeurig en up-to-date zijn.

Cuckoo is een open-source geautomatiseerde malware-analysetool, waarmee je veel verschillende schadelijke bestanden kunt analyseren die van invloed zijn op verschillende besturingssystemen, zoals Windows, Linux, macOS en Android.

Zoals sommigen van jullie weten, zijn er twee soorten malware-analyse,

1. Statische malware analyse – Analyseren van malware zonder het daadwerkelijk uit te voeren. Kijkt naar kenmerken zoals bestandsnaam, MD5 checksums of hashes, bestandstype, bestandsgrootte en herkenning door antivirus detectie tools.

2. Dynamische malware analyse – Analyseren van malware door het daadwerkelijk uit te voeren, en het analyseren van zijn gedragingen zoals API calls, geheugengebruik, netwerkverkeer, etc.(Cuckoo is een dynamische malware-analysetool)

Wat is Sandboxing?

In computerbeveiliging draaien we onbekende, ongeteste of onvertrouwde programma’s of code, programma’s in virtuele omgevingen zonder onze hostmachine of besturingssysteem in gevaar te brengen. Dit wordt sandboxing genoemd. Cuckoo geeft ons de mogelijkheid om een onbekende en onbetrouwbare applicatie of bestand in een geïsoleerde omgeving te draaien en het gedrag ervan te analyseren.

Het opzetten van de host machine

Mijn host machine is Ubuntu 18.04 met 16GB RAM. Ik raad u ten zeerste aan om een Linux machine als host machine te gebruiken. Alvorens Cuckoo te installeren op onze host machine, is het vereist om enkele python bibliotheken en software pakketten te installeren. Hou er ook rekening mee dat python 2.7 vereist is om Cuckoo te draaien. (Cuckoo ondersteunt geen oudere versies van python of python 3).

• Update de pakket informatie en download beschikbare updates.
  sudo apt-get update
  sudo apt-get upgrade
• Volgende, installeer python afhankelijkheden die nodig zijn voor Cuckoo:
  sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
  sudo apt-get install python-virtualenv python-setuptools
  sudo apt-get install libjpeg-dev zlib1g-dev swig
• Om de Django gebaseerde webinterface te gebruiken, is MongoDB nodig:
  sudo apt-get install mongodb
• Om PostgreSQL als database te gebruiken zal PostgreSQL ook geinstalleerd moeten worden:
  sudo apt-get install postgresql libpq-dev

De volgende stap is het installeren van de Virtual Machine software op uw host machine. Cuckoo raadt aan om VirtualBox te gebruiken als de VM software. Het wordt aanbevolen om VirtualBox versie 5.2 te installeren. U kunt de distributie vinden op deze website hier of u kunt het installeren via Ubuntu Software application.

• Installeer tcpdump om de netwerk activiteit te dumpen tijdens de uitvoering van de malware.sudo apt-get install tcpdump
• Installeer M2Crypto. Als je swig al geïnstalleerd hebt, is het uitvoeren van het tweede commando voldoende.
  sudo apt-get install swig
  sudo pip install m2crypto==0.24.0

Na het installeren van deze pakketten, kun je nu Cuckoo op je systeem installeren. Om te installeren voert u de volgende commando’s uit. Of u kunt gewoon het zip bestand downloaden.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

Na de installatie van Cuckoo, moet u de VirtualBox en zijn netwerken correct instellen.

• U kunt een “Host-Only Adapter” aanmaken door het volgende commando uit te voeren:
  vboxmanage hostonlyif create

Met dit commando wordt de host interface vboxnet0 aangemaakt.

• Stel het IP-adres in voor de vboxnet0 interface die u eerder hebt gemaakt.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Volgende, u kunt uw virtuele machine in VirtualBox aanmaken en het besturingssysteem installeren. Windows 7 wordt aanbevolen. Na de installatie van het besturingssysteem, moet je de VM netwerkadapter configureren op “Host Only Adapter”. Dit gaat eenvoudig via de GUI,

Daarna moet u IP forwarding configureren zodat een internetverbinding wordt omgeleid van de host-machine naar de gast-VM. Hier is de interface die aan onze VM is toegewezen vboxnet0 en het ip adres van de VM is 192.168.56.101 welke zich in het subnet van 192.168.56.0/24 bevindt. En de uitgaande interface die verbonden is met het internet is eth0. Dit kan veranderen in situaties zoals wanneer je verbonden bent met het internet via wifi. Je kunt de interface die verbonden is met het internet vinden met dit commando, ifconfig. Hier ga ik ervan uit dat de interface die verbonden is met het internet eth0,

is. Na het uitvoeren van deze commando’s moet je IP forwarding inschakelen in de kernel. Daarvoor moet je de volgende commando’s uitvoeren:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Deze regels zullen alleen geldig zijn tot de volgende reboot. Om te controleren of u de regels correct hebt ingesteld, kunt u dit commando uitvoeren:

sudo iptables -L

Instellen van de gastmachine

Nu kunt u beginnen met het instellen van de gastmachine waarop windows7 is geïnstalleerd. Configureer eerst de netwerkadapter als volgt,

• Nadat u de netwerkconfiguraties hebt gewijzigd, moet u de volgende aanpassingen in de VM uitvoeren.

1. Disable Windows Update en Windows Firewall. (Afbeelding)

2. Wijzig de instellingen voor gebruikersaccountbeheer. (Afbeelding)

3. Installeer uw voorkeursversies van Adobe Reader, Adobe Flash Player, Microsoft Office, en Java. (optioneel)

4. Installeer python 2.7 voor Windows – U kunt python 2.7 hier downloaden.

5. Upload het agent.py bestand van uw host machine welke gevonden kan worden in de ~/.cuckoo/agent directory. Plaats het in de Windows opstartmap in “C:\Users%USERNAME%AppData\Roaming\MicrosoftWindowsStartMenu\Programs\Startup”. Na het herstarten van de VM ziet u een terminal geopend in de VM. (U kunt slepen en neerzetten inschakelen in VirtualBox instellingen. Activeer alleen slepen en neerzetten van host naar gast).

Verander koekoek software configuratie

De koekoek configuratie bestanden bevinden zich in de ~/.koekoek/conf directory. U kunt deze bestanden openen in gedit met dit commando:

sudo gedit cuckoo.conf

Doe de volgende veranderingen in de conf bestanden.

cuckoo.conf

auxiliary.conf

virtualbox.conf

Verander de naam van de parameter in uw VM-naam. De standaard ingestelde naam is ‘koekoek1’.

processing.conf

reporting.conf

Nu u klaar bent met configureren, kunt u Cuckoo starten .

Analyseren met behulp van Cuckoo

Run de volgende commando’s om Cuckoo en de Cuckoo webinterface te starten. Voer deze uit in twee afzonderlijke terminalvensters.
Terminal #1: cuckoo
Terminal #2: cuckoo web runserver

Dan kunt u de webinterface benaderen door naar dit adres te gaan in uw favoriete webbrowser:
goto: localhost:8000

De webinterface zal er ongeveer zo uitzien als deze is geladen: