Articles /

Configurarea Cuckoo Sandbox Step by Step Guide(Malware Analysis Tool)

M-am gândit să scriu acest articol deoarece procesul de configurare a lui Cuckoo este complex și mi-a luat mult timp să îl configurez. Și am vrut să-i ajut și pe alții să evite aceste probleme, deoarece nu există multe ghiduri care să fie precise și actualizate.

Cuckoo este un instrument de analiză malware automatizat open-source, care vă permite să analizați multe fișiere malițioase diferite care afectează diferite sisteme de operare, cum ar fi Windows, Linux, macOS și Android.

După cum unii dintre voi știu, există două tipuri de analiză Malware,

1. Analiza statică a malware-ului – Analiza malware-ului fără a-l rula efectiv. Va lua în considerare caracteristici cum ar fi numele fișierului, sumele de control MD5 sau hashes, tipul de fișier, dimensiunea fișierului și recunoașterea de către instrumentele de detectare antivirus.

2. Analiza dinamică a malware-ului – Analiza malware-ului prin rularea efectivă a acestuia și analizarea comportamentelor sale, cum ar fi apelurile API, utilizarea memoriei, traficul de rețea etc.(Cuckoo este un instrument de analiză dinamică a programelor malware)

Ce este Sandboxing?

În domeniul securității informatice, rulăm programe sau coduri necunoscute, netestate sau de încredere, programe în medii virtuale fără a pune în pericol mașina gazdă sau sistemul de operare. Acest lucru se numește sandboxing. Cuckoo ne oferă facilitatea de a rula o aplicație sau un fișier necunoscut și nesigur în interiorul unui mediu izolat și de a-i analiza comportamentul.

Configurarea mașinii gazdă

Mașina mea gazdă este Ubuntu 18.04 cu 16GB de RAM. Vă sfătuiesc insistent să folosiți o mașină Linux ca mașină gazdă. Înainte de a instala Cuckoo în mașina noastră gazdă, este necesară instalarea unor biblioteci python și a unor pachete software. De asemenea, țineți cont de faptul că python 2.7 este necesar pentru a rula Cuckoo. (Cuckoo nu acceptă versiuni mai vechi de python sau python 3).

  • Actualizați informațiile despre pachete și descărcați actualizările disponibile.
    sudo apt-get update
    sudo apt-get upgrade
  • În continuare, instalați dependențele python necesare pentru Cuckoo:
    sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
    sudo apt-get install python-virtualenv python-setuptools
    sudo apt-get install libjpeg-dev zlib1g-dev swig
  • Pentru a utiliza interfața web bazată pe Django, este necesar MongoDB:
    sudo apt-get install mongodb
  • Pentru a utiliza PostgreSQL ca bază de date va trebui instalat și PostgreSQL:
    sudo apt-get install postgresql libpq-dev

Postul următor este instalarea software-ului mașinii virtuale în mașina gazdă. Cuckoo recomandă să folosiți VirtualBox ca software de mașină virtuală. Se recomandă să instalați VirtualBox versiunea 5.2. Puteți găsi distribuția pe acest site aici sau o puteți instala prin intermediul aplicației Ubuntu Software.

  • Instalați tcpdump pentru a descărca activitatea de rețea realizată în timpul executării malware-ului.sudo apt-get install tcpdump
  • Instalați M2Crypto. Dacă aveți deja instalat swig, este suficientă rularea celei de-a doua comenzi.
    sudo apt-get install swig
    sudo pip install m2crypto==0.24.0

După ce ați instalat aceste pachete, acum puteți instala Cuckoo pe sistemul dumneavoastră. Pentru a instala, rulați următoarele comenzi. Sau puteți descărca pur și simplu fișierul zip.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

După instalarea lui Cuckoo, trebuie să configurați corect VirtualBox și rețeaua acestuia.

  • Puteți crea „Host-Only Adapter” executând următoarea comandă:
    vboxmanage hostonlyif create

Această comandă va crea interfața gazdă vboxnet0.

  • Setați adresa IP pentru interfața vboxnet0 pe care ați creat-o anterior.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

În continuare, puteți crea mașina virtuală în VirtualBox și instala sistemul de operare. Se recomandă Windows 7. După instalarea sistemului de operare, trebuie să configurați adaptorul de rețea al mașinii virtuale la „Host Only Adapter”. Ceea ce este ușor de făcut din GUI,

Setarea „Host Only Adapter” în VirtualBox VM settings

După aceea, trebuie să configurați IP forwarding, astfel încât o conexiune la internet să fie direcționată de la mașina gazdă către VM invitată. Aici, interfața atribuită mașinii noastre virtuale este vboxnet0, iar adresa IP a mașinii virtuale este 192.168.56.101, care se află în subrețeaua 192.168.56.0/24. Iar interfața de ieșire care este conectată la internet este eth0. Aceasta se poate schimba în situații precum atunci când sunteți conectat la internet prin wifi. Puteți afla interfața care este conectată la internet prin această comandă, ifconfig. Aici presupun că interfața conectată la internet este eth0,

După ce executați aceste comenzi trebuie să activați IP forwarding în kernel. Pentru aceasta, trebuie să executați următoarele comenzi:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Aceste reguli vor fi valabile doar până la următoarea repornire. Pentru a verifica dacă ați configurat corect regulile, puteți rula această comandă:

sudo iptables -L

Configurarea mașinii invitate

Acum puteți începe configurarea mașinii invitate care are instalat windows7. În primul rând, configurați setarea adaptorului de rețea după cum urmează,

  • După modificarea configurațiilor de rețea, trebuie să faceți următoarele personalizări ale mașinii virtuale.
  1. Dezactivați Windows Update și Windows Firewall. (Imagine)

2. Schimbați setările de control al contului de utilizator. (Imagine)

3. Instalați versiunile preferate de Adobe Reader, Adobe Flash Player, Microsoft Office și Java. (opțional)

4. Instalați python 2.7 pentru Windows – Puteți descărca python 2.7 de aici.

5. Încărcați fișierul agent.py de pe calculatorul gazdă, care poate fi găsit în directorul ~/.cuckoo/agent. Puneți-l în folderul de pornire Windows aflat în „C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup”. După repornirea mașinii virtuale, veți putea vedea un terminal deschis în mașina virtuală. (Puteți activa funcția drag and drop în setările VirtualBox. Enable only to Drag and Drop from host to guest).

Change Cuckoo Software Configuration

Arhivele de configurare Cuckoo sunt localizate în directorul ~/.cuckoo/conf. Puteți deschide aceste fișiere în gedit folosind această comandă:

sudo gedit cuckoo.conf

Realizați următoarele modificări în fișierele conf.

cuckoo.conf

auxiliary.conf

virtualbox.conf

Schimbați numele parametrului cu numele mașinii dumneavoastră virtuale. Numele implicit setat este ‘cuckoo1’.

processing.conf

reporting.conf

Acum ați terminat de configurat, puteți porni Cuckoo .

Analiză folosind Cuckoo

Executați următoarele comenzi pentru a porni Cuckoo și interfața web Cuckoo. Rulați-le în două ferestre de terminal separate.
Terminal #1: cuckoo
Terminal #2: cuckoo web runserver

Apoi puteți accesa interfața web mergând la această adresă în browserul dvs. web preferat:
goto: localhost:8000

Interfața web va arăta asemănător cu aceasta atunci când este încărcată:

.

Leave a Reply