読者です 読者をやめる 読者になる 読者になる

Twitterに書ききれないこと

イベントや技術的なことを記したい・・・

Cuckoo Sandbox 1.2の構築

Cuckoo Sandbox 1.2の構築のメモ
いつか構築し直すときに役立つように・・・

構築環境

host OS:Ubuntu 14.04
Gest VM:Virtual box
Guest OS: Windows7, WindowsXP
Cuckoo: 1.2

インストール

基本的には公式ドキュメントに沿ってインストール
http://docs.cuckoosandbox.org/en/1.2/

参考にしたサイトは以下の2つ

悪いマルウェアはいねぇかぁ: マルウェア解析システム(Cuckoo インストール編)

Cuckoo Sandbox on KVM(ホスト編) - Qiita

ホストの設定

pipをインストール
  sudo apt-get install python-pip
mongodbのインストール
  sudo apt-get install mongodb
VirtualBoxのインストール
apt-get install virtualbox

versionにあったGuest Additionsをインストール

Tcpdumpの設定

Tcpdumpをroot以外で使えるように変更

sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
ユーザの作成
sudo adduser cuckoo
sudo usermod -a -G vboxusers cuckoo
ネットワークの設定

固定IPを使用 network-managerのアンインストール

必要なパッケージのインストール
apt-get install python-dev libfuzzy-dev python-sqlalchemy python-bson
pip install Jinja2 Bottle pydeep dpkt
Cuckooのダウンロード
git clone git://github.com/cuckoobox/cuckoo.git
Cuckooの設定
  • config/cuckoo.conf
 [resultserver]  
 ip = 192.168.11.100
  • config/virtualmachines.comf
[cuckoo]
 label = cuckoo
 platform = windows
 ip = 192.168.11.101
  • config/auxiliary.conf
    tcpdumpでモニタリングするインタフェースの設定
 interface = eth0
ゲストOSをインストール
 VBoxManage createvm --name "cuckoo" --ostype Windows7_64 --register

ゲストの設定

ゲストの設定で必要な項目

  • UACを切る

  • Windowsアップデートの停止

  • FireWallの無効化

  • Guest Additionsのインストール

  • 共有フォルダの設定

  • pythonのインストール -パスの設定

  • Python Image Libraryのインストール

  • その他必要なソフトのインストール
    -オフィス・PDF等

  • cuckoo/agent/agent.pyの実行

スナップショットの作成

ゲストの設定が終わればスナップショットを作成する。 Cuckoo実行後はこのスナップショットの状態に復元される。

 vboxmanage snapshot "cuckoo" take "setting" --pause
 vboxmanage controlvm "cuckoo" poweroff
 vboxmanage snapshot "cuckoo" restorecurrent

実行

cuckoo.pyを実行する
util/submit.pyの引数にマルウェアを与えて実行する

Web UIを使えるようにする

utils/web.pyを実行するとhttp://localhost:8080からsubmit、解析結果を見ることができるようになる

f:id:pinksawtooth:20151106181927p:plain

REST APIを使えるようにする

公式ドキュメントに沿って設定 REST API — Cuckoo Sandbox v2.0-dev Book

設定が終わると以下のコマンドでjson形式のレポートを取得できる

curl http://localhost:8090/tasks/report/1

複数のVMを設定する

sudo apt-get install mysql-server-5.6 libmysqlclient-dev 
sudo pip install mysql-python

mysqlのパスワードを設定

mysql -u root -p

conf/cuckoo.confの[database]の項目を変更

connection = mysql://root:password@localhost/cuckoo

Cuckooで複数VMを動かす - Qiita