部署恶意文件自动化分析系统——Cuckoo
Cuckoo:
Cuckoo sandbox是一个开源的恶意文件自动化分析系统,采用Python和C/C++开发,跨越Windows、Android、Linux和Darwin四种操作系统平台,支持二进制的PE文件(exe、dll、com)、PDF文档、Office文档、URL、HTML文件、各种脚本(PHP、VB、Python)、JAR包、Zip文件等等几乎所有的文件格式,能分析恶意文件的静态二进制数据和动态运行后的进程、网络、文件等行为,对于恶意文件的初步分析定性具有很大帮助。
Cuckoo的分析结果包含如下内容:
(1)函数以及API调用的Call Trace;
(2)应用拷贝和删除的文件;
(3)选定进程的内存镜像;
(4)分析机的full memory dump;
(5)恶意软件执行时的截屏;
(6)分析机产生的网络流量。
agent伪装环境建议:
(1)安装基础的运行库,如java、python、.net等;
(2)安装2005-2015的vc运行库;
(3)安装MS-Office套件(office 2007/office 2010)、PDF阅读器等文档软件 (Adobe Reader);
(4)安装生活常用的聊天(QQ/微信)、听歌(QQ音乐/酷狗/酷我)软件。
Tips:
- pip版本过低:
解决方案:
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.py
python2 get-pip.py
- 普通用户权限无法运行:
报错信息:In order to use the Cuckoo Web Interface it is required to have MongoDB up-and-running and enabled in Cuckoo. Please refer to our official documentation as well as the $CWD/conf/reporting.conf file
解决方案:用 virtualenv 来重新安装cuckoo
su
virtualenv venv
. venv/bin/activate
(venv)$ pip install -U pip setuptools
(venv)$ pip install -U cuckoo
- 设置iptables持久化:
ubuntu重启后iptables就重置了,需要设置持久化
sudo apt-get install iptables-persistent
iptables -A FORWARD -o ens32 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
sudo netfilter-persistent save
- Cuckoo 分析一直卡在pending:
- 可能是Cuckoo 本身没有运行
- 可能是Cuckoo在运行,但正在读取不同的 CWD(Cuckoo 工作目录)
解决方案:(按顺序执行)
cuckoo --cwd /home/tester/.cuckoo/ -d --ignore-vuln
cuckoo --cwd /home/tester/.cuckoo/ --debug web -H 0.0.0.0 -p 8080
- Web页面报错:
无法停止辅助模块:Sniffer
控制台具体报错信息:
CuckooOperationalError: Error running tcpdump to sniff the network traffic during the analysis; stdout = '' and stderr = 'dropped privs to root\ntcpdump: /home/tester/.cuckoo/storage/analyses/7/dump.pcap: Permission denied\n'. Did you enable the extra capabilities to allow running tcpdump as non-root user and disable AppArmor properly (the latter only applies to Ubuntu-based distributions with AppArmor, see also https://cuckoo.sh/docs/faq/index.html#permission-denied-for-tcpdump)
解决方案:
sudo apt-get install apparmor-utils
sudo aa-disable /usr/sbin/tcpdump
恶意样本测试:
提交方式可以通过命令行和 web 进行提交:
sudo cuckoo submit ceshi.exe
分析结果:
参考如下:
十分钟学会恶意样本分析,一眼看透无所遁形
kali Linux2021 中安装cuckoo沙箱系统 - 知乎
Cuckoo SandBox的安装、配置和应用 - Thresh| - 博客园
Cuckoo安装过程(初学者)_青之羽的博客-CSDN博客_cuckoo安装
cuckoo环境搭建及恶意分析_哔哩哔哩_bilibili
Cuckoo Sandbox Book — Cuckoo Sandbox v2.0.7 Book
利用Python开源工具部署自己的恶意代码自动化(一)
Debian/Ubuntu 上 iptables 防火墙规则持久化
https://github.com/cuckoosandbox/cuckoo/issues/2572
https://github.com/cuckoosandbox/cuckoo/issues/2918
