Cuckoo

Cuckoo Sandbox — это бесплатная автоматизированная система анализа образцов вредоносных программ с открытым исходным кодом. Основная часть разработана с использованием Python. Песочница предоставляет основной механизм песочницы и веб-интерфейс, разработанный с использованием Django. Отправляйте подозрительные файлы через веб-интерфейс или веб-API, предоставляемый системой песочницы, и система песочницы может автоматически анализировать и выполнять обработку. После завершения предоставляется подробный отчет с описанием поведения файла при выполнении в «песочнице», поддерживающий анализ вредоносных файлов в Windows, macOS, Linux и Android.

Архитектура

CuckooЗависит отCuckoo host、Analysis Guests、Virtual networkсоставляют。cuckoo хост - диспетчерский центр, анализ Гость — это песочница, которая специально выполняет образец, и они соединены через виртуальную сетевую карту. При отправке образцов в кукушку После хозяина, кукушка Хост запланирует анализ простоя Гостевой узел также передает образец выбранному узлу песочницы для автоматического анализа. После завершения анализа данные анализа, собранные узлом песочницы, суммируются, и, наконец, выводится отчет об анализе.

Нижний уровень песочницы Cuckoo основан на технологии виртуализации.,Может быть построен с использованием различных платформ виртуализации.,В настоящее время поддерживаются платформы виртуализации:：VirtualBox、KVM、VMware Workstation、XenServer。

среда

Vmware workstation 16 Pro

Ubuntu 16.04 x64

Virtual Box 5.2

Windows 7 unlimited sp1 x64

Cuckoo 2.0.7

Python 2.7.18 x64

Объясните место установки каждого программного обеспечения и нарисуйте простой эскиз.

развертывать

Во-первых, вам необходимо виртуализировать Ubuntu на Vmware в качестве хоста cuckoo. Рекомендуется, чтобы конфигурация процессора и памяти не была слишком низкой. Конфигурация автора следующая.

Требуется здесь УведомлениедаЦП виртуальной машины должен поддерживать вложение виртуализации VT-X или AMD-V.

Установить зависимости

Зависит от于существовать具有середина国特色из互联网среда Вниз, Рекомендуется посещать зарубежные веб-сайты при установке следующих зависимостей и компонентов~

sudo apt-get install curl git wget openconnect python-dev libffi-dev libssl-dev libfuzzy-dev libtool flex autoconf libjansson-dev  python-setuptools libjpeg-dev zlib1g-dev swig mongodb postgresql libpq-dev libcap2-bin  tcpdump apparmor-utils  iptables-persistent ssdeep libsdl1.2debian -y --fix-missing

Установить пип

curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -O
sudo python get-pip.py

Установить виртуалбокс

Уведомлениесуществовать Установить виртуалбоксчас,Попробуйте выбрать>5.1версия.Хотя5.1Можно также использовать обычно,Но когда кукушка запустится, окажется, что VirtualBox — это рискованно.

СкачатьVirtualBox 5.2.44
curl https://download.virtualbox.org/virtualbox/5.2.44/virtualbox-5.2_5.2.44-139111~Ubuntu~xenial_amd64.deb -O
СкачатьVirtualBox 5.2.44 расширение
curl https://download.virtualbox.org/virtualbox/5.2.44/Oracle_VM_VirtualBox_Extension_Pack-5.2.44.vbox-extpack -O
Установить
sudo dpkg -i virtualbox-5.2_5.2.44-139111~Ubuntu~xenial_amd64.deb

Открыть расширение импорта VirtualBox

Установить волатильность

Volatility — это инструмент криминалистического анализа памяти с открытым исходным кодом, который поддерживает методы криминалистического анализа памяти для Windows, Linux, Mac, Android и других операционных систем.

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
sudo python setup.py build
sudo python setup.py install

Установите пакеты зависимостей Python

sudo -H pip install distorm3==3.4.4 yara-python==3.6.3 pydeep openpyxl ujson jupyter pip setuptools

Настройки компонента

sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
getcap /usr/sbin/tcpdump
sudo aa-disable /usr/sbin/tcpdump

Установить кукушку

sudo -H pip install -U cuckoo
cuckoo

После завершения установки запустите cuckoo один раз, чтобы сгенерировать файл конфигурации по умолчанию.

Конфигурация по умолчанию находится по адресу/home/xxxx/.cuckoo/conf

На этом этапе основная часть cuckoo установлена. Если вы хотите, чтобы cuckoo работала правильно, вам необходимо выполнить ряд настроек виртуальной сети, брандмауэра и т. д.

Настройки виртуальной сети

Создайте виртуальную сеть только для хоста
vboxmanage hostonlyif create
Установить адрес шлюза виртуальной сети
vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1

виртуальная сеть Установитьобслуживание и установка на себязапускать

sudo mkdir /opt/systemd/
sudo nano /opt/systemd/vboxhostonly
Напишите следующее содержимое, сохраните и выйдите.
#!/bin/bash
vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1

cd /opt/systemd/
sudo chmod a+x vboxhostonly
Создать сервис
sudo touch /etc/systemd/system/vboxhostonlynic.service
sudo nano /etc/systemd/system/vboxhostonlynic.service
Напишите следующее содержимое, сохраните и выйдите.
[Unit]
Description=Setup VirtualBox Hostonly Adapter
After=vboxdrv.service

[Service]
Type=oneshot
ExecStart=/opt/systemd/vboxhostonly

[Install]
WantedBy=multi-user.target

Перезагрузить сервис
systemctl daemon-reload
Настроить виртуальную сеть из запуска
systemctl enable vboxhostonlynic.service

Настроить iptables-persistent

sudo iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Замените ens33 фактическим именем сетевой карты.
sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
Включите переадресацию ipv4
echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1

Изменить файл конфигурации кукушки

cuckoo.conf

memory_dump=yes Забыл сделать скриншот

auxiliary.conf

virtualbox.conf

processing.conf

memory.conf

reporting.conf

Установить анализатор конфигурации

существоватьVirtualBoxсередина УстановитьWindows7 unlimited sp1 x64, Процесс установки здесь повторяться не будет.

Уведомление

• Имя метки аналитического компьютера, IP-адрес и снимок должны совпадать с указанными в файле конфигурации.
• Снимок для использованияЗапуск снимка
• После установки статического IP проверьте, можете ли вы нормально подключиться к Интернету. Если вы не можете подключиться к Интернету, проверьте конфигурацию iptables.
• Выбор сети анализатора HostOnly

Конфигурация групповой политики

windowsнастраивать->安全настраивать->местная политика->Параметры безопасности->Параметры безопасности->Контроль учетных записей пользователей: Поведение повышенных привилегий для администраторов в режиме одобрения администратора Выберите «Не запрашивать, обновить напрямую».

windowsнастраивать->安全настраивать->местная политика->Параметры безопасности->Параметры безопасности->Контроль учетных записей пользователей:Приложение для обнаружения Установитьи улучшить,Выберите «Отключить».

windowsнастраивать->安全настраивать->местная политика->Параметры безопасности->Параметры безопасности->Контроль учетных записей пользователей：Запуск всех администраторов в режиме одобрения администратора,Выберите «Отключить».

Установите python 2.7.18 и подушку

Установить питон, когда в переменную среды добавляется проверка Уведомления Из-за китайских особенностей сети необходимо изменить источник пипов.

[global]
timeout = 6000
index-url = https://pypi.tuna.tsinghua.edu.cn/simple
trusted-host = pypi.tuna.tsinghua.edu.cn

Настройка агента

копировать/home/s0cke3t/.cuckoo/agent/agent.pyк механизму анализаC:\Users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\目录Вниз并更改后缀为pyw

Дважды щелкните, чтобы запустить и проверить, прослушивается ли порт 8000.

После того, как все настроено, вы можете сохранить снимок текущего состояния анализирующей машины. Имя сохранения должно соответствовать файлу конфигурации. После сохранения снимка приостановите анализирующую машину и переведите ее в спящий режим.

Все настройки теперь завершены

запускать

запускатьcuckoo

Загрузите последнюю версию базы правил
cuckoo community
запускатьcuckoo
cuckoo
запустить локальную страницу веб-управления
cuckoo web
Удаленный доступ к странице веб-управления
cuckoo web runserver 0.0.0.0:8000

запускатьcuckoo

запускатьweb页面

默认管理地址http://localhost:8000

Введите настроенный пароль для доступа

образец теста

Автор используетSynapticsТестирование вируса-червя

После загрузки образца выберите поведение для анализа, продолжительность анализа и используемую машину для анализа, а затем отправьте его.

Статус ожидания изменится на «Отчет», указывая на то, что анализ завершен. Щелкните задачу, чтобы просмотреть отчет об анализе.

Подвести итог

Вообще говоря, cuckoo — это относительно полная и профессиональная система анализа «песочницы» с открытым исходным кодом. Это очень хороший выбор для исследования и анализа вредоносного ПО и служб экстренного реагирования.

Преимущества и недостатки

преимущество:

• Открытый исходный код бесплатен и может быть адаптирован для людей с особыми потребностями.
• Поддерживает множество типов виртуализации и может использоваться на разных платформах.
• Анализ является относительно всесторонним и может почти удовлетворить потребности
• Никаких высоких требований к аппаратному обеспечению не требуется.
• Поддержка экспортного отчета

недостаток:

• Установка и настройка слишком громоздки, и небольшая ошибка может привести к сбою операции.
• Английский интерфейс, требующий от пользователей определенных базовых знаний английского языка.
• Анализ памяти занимает слишком много времени, обычно около получаса.
• Медленная итерация обновления (последняя версия была выпущена в 2019 году)
• Правила по умолчанию, библиотека примеров имеет меньшую поддержку вредоносного ПО Для новых вредоносных программ пользователям необходимо писать свои собственные правила Yara.
• Python3 не поддерживается

ссылка

официальный сайт

Официальная документация

склад кукушки

журнал изменений кукушки 2.0.7

Песочница с открытым исходным кодом Cuckoo Sandbox изразвертывать