CAPEv2沙箱安装部署(Ubuntu22.04虚拟机)

已于 2024-06-16 21:52:51 修改
阅读量1.2k 收藏 28
点赞数 12
文章标签: 网络安全
于 2024-06-15 14:48:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40379977/article/details/139375474
版权

官方资源:

github地址:GitHub - kevoreilly/CAPEv2: Malware Configuration And Payload Extraction

官方文档:Installing CAPE — CAPE Sandbox v2.2 Book

安装流程:

1. 准备工作:

  • 虚拟机环境:本文部署环境为VMWare虚拟机中Ubuntu22.04。虚拟机需要打开Intel VT-x!下图为VMWare的设置,若使用VirtualBox请查阅相关设置。

  • 确保网络通畅:这一步非常重要!
  • 卸载Ubuntu的自动更新:自动更新经常在安装过程中突然占用dpkg导致安装出现报错! 
    sudo apt remove unattended-upgrades

  • 将Ubuntu默认的sh设置为bash:ubuntu默认为dash,但安装脚本需要bash执行。以bash xx.sh的方式可能解决,但更稳妥的方式是修改默认sh:

    sudo dpkg-reconfigure dash

    出现界面后选择No,回车即可。

  • 安装依赖:在安装过程中缺乏下述依赖会报错。

    sudo apt install mlocate
sudo apt install ninja-build
  • 完成此步骤后建议拍摄虚拟机快照。

2. 安装KVM:

  • Cape官方github中提供了KVM安装脚本,但笔者实测总会报错,因此选择apt自行安装。
  • 安装KVM: 
    sudo apt install qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils libvirt-dev libvirt-daemon
sudo apt install virt-manager -y
  • 通过virt-manager指令,通过GUI界面安装win10虚拟机。注:一定安装win10专业版!由于家庭版无法永久关闭病毒实时保护,会给后续恶意软件分析带来很大麻烦!关闭过程可参考:Win10如何彻底关闭实时保护(第二种才有效)-CSDN博客
  • win10安装好后,需要进行一系列配置,请按照官方文档一步一步进行:Requirements — CAPE Sandbox v2.2 Book。具体步骤包括:安装python3(32位)、网络设置、agent.py部署与开机自启、关闭自动更新、开机状态下拍摄快照等。
  • 测试win10:宿主机通过curl访问win10的8000端口,得到一串json字符串,则代表部署成功。
  • 快照拍摄后,关机即可。CAPE需要在KVM虚拟机关闭的情况下运行。
  • 完成此步骤后建议拍摄虚拟机快照。

 3. 安装CAPEv2:

  • Git下载CAPEv2项目: 
    git clone https://github.com/kevoreilly/CAPEv2.git
  • 安装CAPEv2:在CAPEv2/installer/目录下执行(执行过程较长): 
    sudo bash ./cape2.sh base cape | tee cape.log

  • 重启计算机。

  • 检查1:通过以下命令能切换到cape用户。如果显示没有cape用户,则安装过程中可能出错,建议重新执行cape2.sh。​​​

    sudo su - cape -c /bin/bash

        结果如下(用户能顺利切换):

  • 检查2:分别执行以下指令,检查是否均有对应服务存在:
systemctl status cape.service
systemctl status cape-processor.service
systemctl status cape-web.service
systemctl status cape-rooter.service

  • 完成此步骤后建议拍摄虚拟机快照。

4. 依赖安装:

  • 切换至cape用户: 
    sudo su - cape -c /bin/bash
  • 进入路径: 
    cd /opt/CAPEv2/

  • 执行:

    poetry install

  • 注:笔者执行此步骤时并未成功安装依赖,搜索后得知poetry在识别路径大小写时存在问题,将路径中的CAPEv2命名为capev2后,执行poetry install则安装成功。安装成功后再将文件夹名复原。

  • 检查:执行以下指令,若得到对应输出,则安装成功。

    poetry env list
输出:capev2-t2x27zRb-py3.10 (Activated)

  • 完成此步骤后建议拍摄虚拟机快照。

5. 配置修改:

  •  进入路径: 
    cd /opt/CAPEv2/
  • 修改配置: 
    vim conf/cuckoo.conf  # 将121行的ip地址修改为本机ip。
vim conf/kvm.conf     # 将cuckoo1的配置修改为win10的配置。cape1的配置为宿主机配置。resultserver_ip为能与win10 ping通的宿主机IP。
vim conf/routing.conf # 如果需要捕获pcap包,把enable_pcap设置为yes

6. 启动:

  •  在/opt/CAPEv2目录下:
sudo systemctl stop cape.service
sudo -u cape poetry run ./cuckoo.py
sudo -u cape poetry run ./web/manage.py migrate
sudo -u cape poetry run ./web/manage.py runserver 0000:8856
  • 访问本机8000端口,则进入cuckoo主页,可以提交与分析样本。

  • 若在使用中,浏览器报csrf相关错误,则注释掉./web/web/setting.py 的MIDDLEWARE的'django.middleware.csrf.CsrfViewMiddleware',重启即可。
  • 后续CAPE会开机自启,开机后直接访问本机8000端口即可访问web。
  • 通过指令也可提交样本或清除分析结果: 
    提交:sudo -u cape poetry run python utils/submit.py --timeout 60 /path/to/binary
清除:sudo -u cape poetry run python utils/cleaners.py --clean

7. 分析结果查看

  • web中查看:进入顶部Recent标签页,点击栏目的Filename即可看到分析结果(栏目状态必须为reported才能查看结果)。
  • 文件夹中查看:/opt/CAPEv2/storage/analyses中,存放每次提交的检测结果,存放结果的文件夹以检测ID命名。

Ziieq
关注
  • 12
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解
杨秀璋的专栏
03-22 5082
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助!
[系统安全] 四十七.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解
杨秀璋的专栏
03-22 3639
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助!
CAPEv2:恶意软件配置和有效负载提取
02-08
CAPE:恶意软件配置和有效负载提取 CAPE是一个恶意软件沙箱。 它源自Cuckoo,旨在自动执行恶意软件分析过程,目标是从恶意软件中提取有效负载和配置。 这使CAPE能够基于有效载荷签名检测恶意软件,并实现了恶意软件逆向工程和威胁情报的许多目标的自动化。 有一个在线社区版本,任何人都可以免费试用: 从最初在样本上运行,CAPE可以检测到许多恶意软件技术或行为以及特定的恶意软件家族。 然后,此检测可能会触发使用特定程序包的进一步运行,以便提取恶意软件有效负载及其可能的配置,以进行进一步分析。 CAPE通过定制的调试器和API挂钩控制恶意软件。 可以基于API或Yara签名进行检测以触发CAPE软件包。 调试器使用Yara签名或API挂钩来允许在单个指令,内存区域或函数调用上设置断点。 一旦到达感兴趣的区域,就可以对其进行处理和转储以进行处理和分析,并可能进行配置解析。 CAPE检
cape2 sandbox安装
anzhuangguai的专栏
12-27 1097
1 安装 ubuntu20 LTS 2 CODING | 一站式软件研发管理平台 下载代码 安装 sudo ./cape2.sh all cape 192.168.1.1 | tee /tmp/cape.log 3 创建KVM虚机
capev2安装踩坑记录
最新发布
you_get_me_there的博客
07-11 530
capev2安装心得
cape2安装时候两个注意点
anzhuangguai的专栏
02-18 584
如果是windows虚拟机 1 记得将杀毒关掉 2 记得将agent.pyw的默认打开方式变更为pythonw 否则有可能没有截图。
恶意样本自动化配置提取初探
Dokii_i的博客
01-22 1029
本篇参考 github 上 [CAPEv2](CAPEv2/Emotet.py at f2ab891a278b2875c79b4f2916d086f870b54ed5 · kevoreilly/CAPEv2 (github.com)) 沙箱的提取代码,在前面奇安信攻防社区-APT 恶意 DLL 分析及 C2 配置提取(子 DLL 篇) 分析的基础上尝试编写自动化配置提取,如有错误还请指正。编写这种脚本时,你得知道你要什么功能,然后依照功能去找函数,找外部库。
探索CAPEv2:新一代自动化流程编排工具
gitblog_00089的博客
03-25 413
探索CAPEv2:新一代自动化流程编排工具 项目地址:https://gitcode.com/kevoreilly/CAPEv2 CAPEv2 是一个开源项目,由Kevoreilly开发,旨在简化和优化自动化流程的编排工作。它基于Python构建,利用现代软件工程的理念,提供了一种灵活、可扩展的方式来处理复杂的业务逻辑。 项目简介 CAPEv2的核心是一个强大的规则引擎,它允许用户通过声明式的方式...
探索CAPEv2:新一代的恶意软件分析利器
gitblog_00078的博客
05-18 507
探索CAPEv2:新一代的恶意软件分析利器 项目地址:https://gitcode.com/ctxis/CAPE 项目简介 CAPEv2(基于Python3)是一个全新的恶意软件分析平台,旨在自动化处理恶意软件的分析过程,着重于提取恶意软件的payload和配置信息。随着Python2的生命期即将结束,升级到Python3版本的CAPEv2势在必行。 技术解析 CAPE(Malware Conf...
capesandbox模拟登录案例
李玺
06-07 899
案例: https://www.capesandbox.com/ 模拟登录获取cookie。 Post请求中有 login、password、以及csrfmiddlewaretoken login和password是明文的账号密码。 csrfmiddlewaretoken 一般是为了解决csrf跨域攻击的随机值,保存在用户的页面上,每次请求都带着这个值过来完成校验。 所以完成登录需要先获取csrfmiddlewaretoken。 那么在控制台搜索一番后,并未找到本地的生成方法,说明该值是由服务端返回的。
CAPE:恶意软件配置和有效载荷提取
05-02
CAPEv2(Python3)现在已经发布 随着Python 2即将到期(2020年1月1日),CAPEv1将被淘汰。 请尽快升级到Python 3版本。 CAPE:恶意软件配置和有效负载提取 CAPE是一个恶意软件沙箱。 它源自Cuckoo,旨在自动执行恶意软件分析过程,目标是从恶意软件中提取有效负载和配置。 这使CAPE能够基于有效载荷签名检测恶意软件,并实现了恶意软件逆向工程和威胁情报的许多目标的自动化。 有一个在线社区版本,任何人都可以免费试用: 从最初在样本上运行时,CAPE可以检测到许多恶意软件技术或行为,以及特定的恶意软件家族。 然后,此检测可能会触发使用特定程序包的进一步运行,以便提取恶意软件有效负载及其可能的配置,以进行进一步分析。 CAPE通过定制的调试器和API挂钩控制恶意软件。 可以基于API或Yara签名进行检测以触发CAPE软件包。 调试器使用Yara签名
恶意程序在cuckoo沙箱中产生的Windows API序列数据集
01-05
将恶意程序在cuckoo沙箱中模拟运行得到Windows系统的API序列。可以使用机器学习算法来对不同的恶意程序进行划分(分类)。
Ubuntu22.04 软件安装
03-28
资源来源于自己部署沙箱时使用的,使用的是Ubuntu22.04.1版本的系统 ps: 因为安装过程涉及到依赖问题,尽可能使用下面的命令安装) 下载后解压及无错安装命令: sudo tar -xvf softbag.tar -C /var/cache/apt/...
虚拟机.rar虚拟机.rar虚拟机.rar
07-26
标签“虚拟机.rar”明确指出这个压缩包与虚拟机有关,可能是包含了虚拟机安装文件、配置文件或者备份。 在压缩包内的“虚拟机”文件名,虽然没有具体的文件类型信息,但可以假设这是一个虚拟机镜像文件,如VMware...
ubuntu安装docker.docx
04-03
### Ubuntu安装Docker知识点详解 #### 一、概述 Docker是一种开源的应用容器引擎,它可以让开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全...
[系统安全] 四十八.恶意软件分析 (4)Cape沙箱批量提取动态API特征
杨秀璋的专栏
03-26 2590
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍动态分析沙箱Cape的安装过程,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。然而,当样本数量增加时,单个样本分析会降低效率。这篇文章将讲解如何实现Cape沙箱的批量分析,通过调用Python脚本文件来实施批量处理,并将分析结果存储在指定位置,最后补充submit.py的参数及Python调用方式。基础性文章,希望对您有帮助!
[网络安全提高篇] 一二一.恶意软件动态分析Cape沙箱Report报告的API序列批量提取详解
杨秀璋的专栏
07-04 4111
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助!
ubuntu22.04特点
12-15
Ubuntu 22.04是一款基于Linux的操作系统,其特点如下: - 支持多种桌面环境,包括GNOME、KDE、Xfce等。 - 内置了大量的开源软件,如LibreOffice、Firefox、Thunderbird等。 - 支持容器化技术,如Docker、Kubernetes等。 - 强调隐私和安全,提供了全盘加密、应用程序沙箱等功能。 - 支持多种硬件架构,如x86、ARM等。 - 提供了易于使用的软件中心,方便用户查找和安装软件。 - 支持快速升级和更新,提供了长期支持版本和普通版本两种选择。 演示: 由于Ubuntu 22.04尚未发布,因此无法进行演示。但是,你可以下载Ubuntu 21.04或Ubuntu 20.04进行体验,这两个版本也具有类似的特点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值