Ubuntu恶意文件分析环境搭建--安装Cuckoo Sandbox记录

最新推荐文章于 2024-03-14 16:10:48 发布
置顶 最新推荐文章于 2024-03-14 16:10:48 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: 计算机系统 文章标签: Cuckoo sandbox malware hostonly
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/98515329
版权

目录

0x01 基础信息

0x02 主机host操作

1.需要安装的依赖:

2.安装tcpdump并确认安装无误:

3.安装pydeep:

4.安装mongodb:

5.安装Volatility:

6.安装M2Crypto:

7.Host Os创建user

8.主机上安装cuckoo sandbox

9.Cuckoo文件配置阶段

10.安装虚拟机

0x03 客户机安装和配置

1.安装虚拟机:

2.客户机上安装python2.7环境,并安装常见软件

3.客户机配置网络

4.agent.py运行及snapshot的保存

0x04 Cuckoo运行注意

0x05 参考

0x01 基础信息

Linux(Ubuntu)中查看ubuntu版本命令如下:

cat /proc/version
ns3@stark:~$ cat /proc/version 
Linux version 4.15.0-50-generic (buildd@lcy01-amd64-013) (gcc version 7.3.0 (Ubuntu 7.3.0-16ubuntu3)) #54-Ubuntu SMP Mon May 6 18:46:08 UTC 2019

0x02 主机host操作

1.需要安装的依赖:

ns3@stark:~$ sudo apt-get install git mongodb libffi-dev build-essential python-django python python-dev python-pip python-pil python-sqlalchemy python-bson python-dpkt python-jinja2 python-magic python-pymongo python-gridfs python-libvirt python-bottle python-pefile python-chardet tcpdump -y

2.安装tcpdump并确认安装无误:

#tcpdump执行需要使用root权限,可以使用下列指令使得其不使用root权限也可以执行
ns3@stark:~$ sudo setcap cap_net_raw,cap_net_admin=eip 
/usr/sbin/tcpdump 
#进行验证
ns3@stark:~$ getcap /usr/sbin/tcpdump 
/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip

3.安装pydeep:

ns3@stark:~$ wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.13/ssdeep-2.13.tar.gz/download -O ssdeep-2.13.tar.gz 
ns3@stark:~$ tar -zxf ssdeep-2.13.tar.gz 
ns3@stark:~$ cd ssdeep-2.13 
ns3@stark:~/ssdeep-2.13$ ./configure 
ns3@stark:~/ssdeep-2.13$ make 
ns3@stark:~/ssdeep-2.13$ sudo make install
#确认安装无误
ns3@stark:~/ssdeep-2.13$ ssdeep -V 
2.13 
ns3@stark:~/ssdeep-2.13$ sudo pip install pydeep
ns3@stark:~/ssdeep-2.13$ pip show pydeep

4.安装mongodb:

用于使用Django的Web界面

sudo apt-get install -y mongodb

5.安装Volatility:

先安装依赖:

ns3@stark:~/ssdeep-2.13$ sudo pip install openpyxl 
ns3@stark:~/ssdeep-2.13$ sudo pip install ujson 
ns3@stark:~/ssdeep-2.13$ sudo pip install pycrypto 
ns3@stark:~/ssdeep-2.13$ sudo pip install distorm3 
ns3@stark:~/ssdeep-2.13$ sudo pip install pytz

然后安装Volatility:

ns3@stark:~$ git clone https://github.com/volatilityfoundation/volatility.git 
ns3@stark:~$ cd volatility 
ns3@stark:~/volatility$ python setup.py build 
ns3@stark:~/volatility$ python setup.py install

确认安装无误:

ns3@stark:~/volatility$ python vol.py -h 
Volatility Foundation Volatility Framework 2.6.1

6.安装M2Crypto:

ns3@stark:$ sudo pip install m2crypto == 0.24.0

7.Host Os创建user

这里直接将ns3加入vboxusers group,第一句无需执行

ns3@stark:~$ sudo adduser ns3 
ns3@stark:~$ sudo usermod -a -G vboxusers ns3

8.主机上安装cuckoo sandbox

在virtualenv安装cuckoo https://cuckoo.sh/docs/installation/host/installation.html

ns3@stark:~$ sudo apt install virtualenv 
ns3@stark:~$ virtualenv venv 
ns3@stark:~$ . venv/bin/activate (venv) 
ns3@stark:~$ pip install -U pip setuptools (venv) 
ns3@stark:~$ pip install -U cuckoo

 

进入:source venv/bin/activate 
退出:deactivate

# Places the CWD in /opt/cuckoo. Note that Cuckoo will normally create the CWD itself, but in order to create a directory in /opt root capabilities are usually required.
$ sudo mkdir /opt/cuckoo
$ sudo chown ns3:ns3 /opt/cuckoo 
$ cuckoo --cwd /opt/cuckoo
You could place this line in your .bashrc, for example.
$ export CUCKOO=/opt/cuckoo 
$ cuckoo

 

9.Cuckoo文件配置阶段

virtualbox.conf只需修改snapshot = snapshot1,其余默认。

reporting.conf

[jsondump] 
enabled = yes 
indent = 4 
calls = yes 
[mongodb] 
enabled = yes # no-->yes 
host = 127.0.0.1 
port = 27017 
db = cuckoo 
store_memdump = yes 
paginate = 100

此处报错

2019-08-05 09:51:16,664 [cuckoo] ERROR: The maximum number of open files is low (4096). If you do not increase it, you may run into errors later on. 2019-08-05 09:51:16,664 [cuckoo] ERROR: See also: https://cuckoo.sh/docs/faq/index.html#ioerror-errno-24-too-many-open-files

解决办法:https://easyengine.io/tutorials/linux/increase-open-files-limit/

再下载签名

ns3@stark:~$ . venv/bin/activate 
(venv) ns3@stark:~$ cuckoo --cwd /opt/cuckoo community
(venv) ns3@stark:~$

10.安装虚拟机

$ sudo apt-get install virtualbox

为了方便后续操作,安装VBoxManage:

ubuntu查看virtualbox版本:通过再次输入安装命令(箭头↑即可)

ns3@stark:~$ sudo apt-get install virtualbox 
[sudo] ns3 的密码: 
正在读取软件包列表... 完成 正在分析软件包的依赖关系树 正在读取状态信息... 完成 virtualbox 已经是最新版 (5.2.18-dfsg-2~ubuntu18.04.5)。 升级了 0 个软件包,新安装了 0 个软件包,要卸载 0 个软件包,有 618 个软件包未被升级。

通过版本5.2在网站上https://www.virtualbox.org/wiki/Download_Old_Builds_5_2发现virtualbox-5.2_5.2.18-124319_Ubuntu_bionic_amd64.deb

因此对应的扩展包为http://download.virtualbox.org/virtualbox/5.2.18/Oracle_VM_VirtualBox_Extension_Pack-5.2.18-124319.vbox-extpack

ns3@stark:~$ wget http://download.virtualbox.org/virtualbox/5.2.18/Oracle_VM_VirtualBox_Extension_Pack-5.2.18-124319.vbox-extpack
ns3@stark:~$ sudo VBoxManage extpack install ./Oracle_VM_VirtualBox_Extension_Pack-5.2.18-124319.vbox-extpack

0x03 客户机安装和配置

1.安装虚拟机:

在virtualbox上新建windows7客户机,命名为cuckoo1 客户机配置: 网络设置选择家庭网络或者工作网络,不要选择公用网络

关闭防火墙-----全部关闭

关闭自动更新

关闭UAC-----搜索uac,然后将方块移至到最下方即可

安装增强功能>设置共享文件夹-----便于后期将主机的agent.py共享到虚拟机

2.客户机上安装python2.7环境,并安装常见软件

pip install Pillow

在客户机上安装常用的软件:wps、qq、wechat、搜狗输入法、chrome浏览器

3.客户机配置网络

选择家庭网络或者工作网络

此时 客户机可以ping通主机,无法访问baidu

通过在主机上设置网络

随后设置hostonly网络:

创建vboxnet0 此处也可以通过图形界面进行设置(在virtualbox的全局设置>网络 中)

ns3@stark:~$ VBoxManage hostonlyif create 
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100% Interface 'vboxnet0' was successfully created

客户机的网络适配器设置为如下

IP: 192.168.56.101
Subnet mask:255.255.255.0
Default gateway: 192.168.56.1
Prefered DNS server: 192.168.56.1

以下为在主机上配置

开启转发

ns3@stark:~$ sudo vim /etc/sysctl.conf 
#去掉net.ipv4.ip_forward=1前面的注释

使用iptables提供NAT机制(wlx14cf92055fba为网卡)

在配置iptables规则之前要先iptables -L看下有没有现有的防火墙规则,有的话可以sudo iptables -D删除

ns3@stark:~$ sudo iptables -A FORWARD -o wlx14cf92055fba -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT 
ns3@stark:~$ sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ns3@stark:~$ sudo iptables -A POSTROUTING -t nat -j MASQeth0UERADE 
ns3@stark:~$ sudo iptables -t nat -A POSTROUTING -o wlx14cf92055fba -s 192.168.56.0/24 -j MASQUERADE

持久化配置

ns3@stark:~$ sudo iptables-save > /etc/iptables.rules

上面的命令会产生一个iptables.rules文件,此时再通过下面的命令

ns3@stark:~$ sudo vim /etc/network/interfaces

打开之后在文件之后添加下面两条语句

pre-up iptables-restore < /etc/iptables.rules # 开机时启动iptables规则
post-down iptables-save > /etc/iptables.rules # 关机前保存当前所有的iptables规则

 

开启dns服务

ns3@stark:~$ sudo apt-get install -y dnsmasq 
ns3@stark:~$ sudo service dnsmasq start

此时的网络状态为主机可以ping通客户机,客户机可以ping通主机和百度。

因为主机不能上网[我之前配置的是可以上网的,但是不能上网也不影响这里的cuckoo的运行,如果有知道的朋友,可以告诉我一下,谢谢],因此没有采用这里的iptables持久化配置,选择了脚本每次开机执行配置iptables命令配置。

4.agent.py运行及snapshot的保存

通过共享文件夹将agent.py放在win7上,运行agent.py,并在此时拍摄快照,保存为snapshot1。

0x04 Cuckoo运行注意

之前在主机部分安装了Cuckoo,此时只需要分别在两个终端窗口执行以下命令,就可以在web界面[http://127.0.0.1:8000]上传样本进行分析。

ns3@stark:~$ . venv/bin/activate 
(venv) ns3@stark:~$ cuckoo --cwd /opt/cuckoo web

ns3@stark:~$ . venv/bin/activate 
(venv) ns3@stark:~$ cuckoo --cwd /opt/cuckoo -d

0x05 参考

https://cuckoo.sh/docs/ 

Cuckoo SandBox V2.0.4安装指南 

Cuckoo Installation | 0x90e's Blog

进一寸有一寸的欢喜077
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android-CuckooDroid-利用CuckooSandbox自动化分析Android恶意软件
08-12
CuckooDroid - 利用Cuckoo Sandbox自动化分析Android恶意软件
cuckoo沙箱踩坑和填坑记录
Niatruc的博客
09-14 4088
使用cuckoo沙箱的过程中不时出现一些错误,网上几乎没有中文的问题帖,解决方法都是在github找到。在此记录一些解决方法。 Cuckoo沙箱有一本Book,里边提到一些用户问过的问题。 文件地址:https://readthedocs.org/projects/cuckoo/downloads/pdf/latest/。 CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1:2042 [Errno 99] Cannot
启动cuckoo时的报错:The maximum number of open files is low (4096).
weixin_43981869的博客
12-13 1167
启动cuckoo时的报错:The maximum number of open files is low (4096).
【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析
最新发布
VN520的博客
03-14 1087
*沙盒(Sanbox)**是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析Cuckoo sandbox是一款用 Python和C/C++ 编写的开源的自动化恶意软件分析系统,且跨越Windows、Android、Linux和Darwin四种操作系统平台。
Ubuntu22.04系统Cuckoo sandbox环境搭建安装踩坑记录含虚拟机分享(最后罗列)
Cho_pin的博客
03-26 983
此文章写于2023年3月26日,已安装到75步,算是把环境全部搭建完毕,win7沙箱也完成,搭建耗时接近一天,算是踩了好多坑,把踩坑经历发布出来避免重复踩坑本人Linux经验匮乏,因此踩了不少多余的坑,尽力保证写一篇保姆级的避坑指南吧另附一个完成至75步的虚拟机文件,不想安装的小伙伴可以自行下载。
Too many open files]解决方法
brucectl
02-05 381
Redhat 帮助文档[http://kbase.redhat.com/faq/FAQ_80_1540.shtm] Issue: How do I set the maximum number of files allowed to be open on a system Resolution: The current setting for maximum number of o...
ubuntu20下Cuckoo SandBox安装教程--大踩坑版(一)
Jianxin_YU的博客
04-05 9728
ubuntu20下Cuckoo SandBox安装说明天坑1: 系统架构天坑2: python2.7python2.7安装pip2.7安装天坑3: Cuckoo依赖安装 说明 本文主要参考:Ubuntu20.04系统Cuckoo sandbox所需环境搭建安装(超详细图文) Cuckoo SandBox官网:Cuckoo link 在做网络安全的小伙伴们安装Cuckoo SandBox的时候肯定发现了,大部分的文章都基于ubuntu14,然而到现在ubuntu已经更新到ubuntu20,很多基于ubunt
Cuckoo Sandbox:Cuckoo Sandbox用于自动分析恶意软件-开源
05-13
布谷鸟沙箱使用组件来监视沙箱环境中恶意软件的行为; 与系统的其余部分隔离。 它提供对Windows,Linux,macOS和Android上任何恶意文件的自动分析
cuckoo-osx-analyzer:用于Cuckoo Sandbox项目的OS X分析
05-12
布谷鸟分析仪 我的旨在为项目构建OS X分析器。 :warning: 在制品 :warning: 用法 另请参阅: 和 来宾机器设置 安装pt_deny_attach建议的pt_deny_attach内核扩展。 这是一个可选步骤,有关更多详细信息,请参见此。...
cuckoo-sender:从上下文菜单发送文件以在 Cuckoo Sandbox 中进行分析
06-15
布谷鸟发送器从上下文菜单发送文件以在 Cuckoo Sandbox 中进行分析安装cuckoo-sender 复制到 %PROGRAMFILES% 目录编辑 config.ini:设置参数安装“发送到” 将快捷方式添加到 cuckoo-send.cmd 并将其移动到目录:...
ubuntu 18.04 lts 安装cuckoo沙箱踩坑记录-附件资源
03-02
ubuntu 18.04 lts 安装cuckoo沙箱踩坑记录-附件资源
布谷鸟:布谷鸟沙盒是一个自动化的动态恶意软件分析系统
02-28
是领先的开源自动化恶意软件分析系统。 那是什么意思? 它只是意味着您可以向其扔任何可疑文件,而Cuckoo会在几秒钟内为您提供一些详细的结果,概述在隔离环境中执行该文件时的行为。 如果您想为开发做出贡献,报告错误,提出功能要求或提出问题,请首先查看我们的。 确保您检查了我们现有的Issues和Pull Requests,并加入了我们的。 有关设置说明,请参考。 这是开发版本,我们不建议在生产中使用它。 可以通过pip install -U cuckoo最新的稳定版本。 您可以在找到最新稳定版本的完整文档。
M2crypto-0.27.0.tar.gz
03-26
M2crypto-0.27.0的tar包,用于python里面的加密。。。。。
出现OSError: [Errno 24] Too many open files错误解决方法。
weixin_46779338的博客
12-14 7987
出现OSError: [Errno 24] Too many open files错误解决方法。
Linux Increase The Maximum Number Of Open Files / File Descriptors (FD)
weixin_34252090的博客
11-25 685
How do I increase the maximum number of open files under CentOS Linux? How do I open more file descriptors under Linux? The ulimit command provides control over the resources available to the shell a...
关于open file limit问题解决
高矮
12-01 1万+
如果遇到open file limit问题 Configuration of maximum open file limit is too low: 1024 (expected at least 32768). Please consult https://goo.gl/LgvGFl 修改方法: (1)ulimit -HSn 102400 这只是在当前终端有效,退
Redis 启动警告解决
热门推荐
11-24 2万+
[root@centos224]# service redisd start 21985:M 24 Nov 04:07:20.376 * Increased maximum number of open files to 10032 (it was originally set to 1024). _._
增加Linux最大打开文件数/文件描述符 https://www.centos.bz/2012/05/linux-increase-the-maximum-number-of-open-files/
诺尔曼
09-02 1024
增加Linux最大打开文件数/文件描述符 作者: 朱 茂海 分类: 系统管理 发布时间: 2012-05-24 08:19 ė88 views 61条评论 文章目录 [隐藏] 一、查看最大打开文件数 二、设置最大打开文件数 一、查看最大打开文件数 1、查看系统及最大打开文件数 [root@localhost ~]# cat /proc
ubuntu20.04安装cuckoo
09-02
- *1* *2* *3* [Ubuntu20.04系统Cuckoo sandbox所需环境搭建安装(超详细图文)](https://blog.csdn.net/ElsonHY/article/details/115607255)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值