Articles /

Installation av Cuckoo Sandbox steg för steg (Malware Analysis Tool)

Jag tänkte skriva den här artikeln eftersom installationen av Cuckoo är komplicerad och det tog mig mycket tid att konfigurera den. Och ville hjälpa andra att undvika dessa problem eftersom det inte finns många guider som är korrekta och uppdaterade.

Cuckoo är ett automatiserat analysverktyg för skadlig kod med öppen källkod, som ger dig möjlighet att analysera många olika skadliga filer som påverkar olika operativsystem som Windows, Linux, macOS och Android.

Som några av er vet finns det två typer av Malware-analys,

1. Statisk analys av skadlig kod – Analyserar skadlig kod utan att faktiskt köra den. Kommer att beakta funktioner som filnamn, MD5-kontrollsummor eller hash, filtyp, filstorlek och igenkänning av antivirusverktyg.

2. Dynamisk analys av skadlig kod – Analys av skadlig kod genom att faktiskt köra den och analysera dess beteenden som API-anrop, minnesanvändning, nätverkstrafik osv.(Cuckoo är ett dynamiskt verktyg för analys av skadlig kod)

Vad är Sandboxing?

I datorsäkerhet kör vi okända, otestade eller opålitliga program eller koder, program i virtuella miljöer utan att utsätta vår värdmaskin eller vårt operativsystem för risker. Detta kallas sandboxing. Cuckoo ger oss möjlighet att köra ett okänt och opålitligt program eller en fil i en isolerad miljö och analysera dess beteende.

Inställning av värddatorn

Min värddator är Ubuntu 18.04 med 16 GB RAM. Jag rekommenderar starkt att du använder en Linux-maskin som värdmaskin. Innan Cuckoo installeras i vår värdmaskin krävs det att några pythonbibliotek och programvarupaket installeras. Observera också att python 2.7 krävs för att köra Cuckoo. (Cuckoo stöder inte äldre versioner av python eller python 3).

  • Uppdatera paketinformationen och hämta tillgängliga uppdateringar.
    sudo apt-get update
    sudo apt-get upgrade
  • Nästan installerar du python-beroenden som krävs för Cuckoo:
    sudo apt-get install python python-pip python-dev libffi-dev libssl-dev
    sudo apt-get install python-virtualenv python-setuptools
    sudo apt-get install libjpeg-dev zlib1g-dev swig
  • För att använda det Django-baserade webbgränssnittet krävs MongoDB:
    sudo apt-get install mongodb
  • För att använda PostgreSQL som databas måste PostgreSQL också installeras:
    sudo apt-get install postgresql libpq-dev

Nästa steg är att installera programvaran för den virtuella maskinen i din värdmaskin. Cuckoo rekommenderar att du använder VirtualBox som VM-programvara. Det rekommenderas att installera VirtualBox version 5.2. Du kan hitta distributionen på den här webbplatsen här eller så kan du installera den via Ubuntu Software application.

  • Installera tcpdump för att dumpa nätverksaktiviteten som utförs under exekveringen av skadlig kod.sudo apt-get install tcpdump
  • Installera M2Crypto. Om du redan har swig installerat räcker det med att köra det andra kommandot.
    sudo apt-get install swig
    sudo pip install m2crypto==0.24.0

När du har installerat dessa paket kan du nu installera Cuckoo på ditt system. För att installera kör följande kommandon. Eller så kan du helt enkelt ladda ner zip-filen.

sudo pip install -U pip setuptools
sudo pip install -U cuckoo

När du har installerat Cuckoo måste du konfigurera VirtualBox och dess nätverk korrekt.

  • Du kan skapa ”Host-Only Adapter” genom att köra följande kommando:
    vboxmanage hostonlyif create

Detta kommando skapar värdgränssnittet vboxnet0.

  • Sätt IP-adressen för gränssnittet vboxnet0 som du skapade tidigare.

vboxmanage hostonlyif ipconfig vboxnet0 – ip 192.168.56.1

Nästan kan du skapa din virtuella maskin i VirtualBox och installera operativsystemet. Windows 7 rekommenderas. När du har installerat operativsystemet måste du konfigurera den virtuella maskinens nätverkskort till ”Host Only Adapter”. Vilket är enkelt genom att göra det från GUI,

Inställer ”Host-only Adapter” i VirtualBox VM-inställningar

Därefter måste du konfigurera IP-forwarding så att en internetanslutning dirigeras från värddatorn till gäst-VM. Här är gränssnittet som tilldelats vår VM vboxnet0 och VM:s IP-adress är 192.168.56.101 som ligger i delnätet 192.168.56.0/24. Det utgående gränssnittet som är anslutet till Internet är eth0. Det kan ändras i situationer som när du är ansluten till internet via wifi. Du kan hitta det gränssnitt som är anslutet till internet med det här kommandot, ifconfig. Här antar jag att gränssnittet som är anslutet till internet är eth0,

När du har utfört dessa kommandon måste du aktivera IP-forwarding i kärnan. För det måste du utföra följande kommandon:

echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Dessa regler kommer bara att vara giltiga tills nästa omstart. För att kontrollera om du har ställt in reglerna korrekt kan du köra det här kommandot:

sudo iptables -L

Inställning av gästmaskinen

Nu kan du börja ställa in gästmaskinen som har installerat windows7. Konfigurera först nätverksadapterinställningen enligt följande,

  • När du har ändrat nätverkskonfigurationerna måste du göra följande anpassningar av den virtuella maskinen.
  1. Disaktivera Windows Update och Windows Firewall. (Bild)

2. Ändra inställningarna för användarkontokontroll. (Bild)

3. Installera önskade versioner av Adobe Reader, Adobe Flash Player, Microsoft Office och Java. (valfritt)

4. Installera python 2.7 för Windows – Du kan ladda ner python 2.7 här.

5. Ladda upp filen agent.py från din värddator som finns i katalogen ~/.cuckoo/agent. Lägg den i Windows startmapp som finns i ”C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup”. Efter omstart av den virtuella maskinen kommer du att kunna se en terminal öppnad i den virtuella maskinen. (Du kan aktivera drag och släpp i VirtualBox-inställningarna. Aktivera endast för att dra och släppa från värd till gäst).

Change Cuckoo Software Configuration

Kuckoo-konfigurationsfilerna finns i katalogen ~/.cuckoo/conf. Du kan öppna dessa filer i gedit med det här kommandot:

sudo gedit cuckoo.conf

Gör följande ändringar i conf-filerna.

cuckoo.conf

auxiliary.conf

virtualbox.conf

Ändra parameternamnet till din virtuella maskins namn. Standardnamnet är ”cuckoo1”.

processing.conf

rapportering.conf

När du är klar med konfigurationen kan du starta Cuckoo .

Analysering med Cuckoo

Kör följande kommandon för att starta Cuckoo och webbgränssnittet Cuckoo. Kör dem i två separata terminalfönster.
Terminal #1: cuckoo
Terminal #2: cuckoo web runserver

Därefter kan du komma åt webbgränssnittet genom att gå till den här adressen i din favoritwebbläsare:
goto: localhost:8000

Vävgränssnittet kommer att se ut så här när det är laddat:

Leave a Reply