Ubuntu安装布谷鸟沙盒
布谷鸟沙箱介绍
布谷鸟沙箱简单来说就是建立一个完全隔离的虚拟机,虚拟机的网卡是自己操控的电脑给予虚拟机的一个网卡,这样虚拟机的所有的对外信息我们进行拦截并进行分析,一般是进行病毒文件的分析来得出病毒的基本的行为。所以我们在建立虚拟机中要注意对网络的配置
电脑配置
本机 :win10最新版
虚拟化软件:VMware 15
安装布谷鸟沙盒的靶机 :Ubuntu 16.03
布谷鸟中的靶机:win xp(中文版)
首先更换源
Ubuntu更换阿里源
sudo gedit /etc/apt/sources.list
deb-src http://archive.ubuntu.com/ubuntu xenial main restricted
deb http://mirrors.aliyun.com/ubuntu/ xenial main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates universe
deb http://mirrors.aliyun.com/ubuntu/ xenial multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb http://archive.canonical.com/ubuntu xenial partner
deb-src http://archive.canonical.com/ubuntu xenial partner
deb http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-security universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-security multiverse
之后sudo apt-get update和sudo apt-get upgrade
安装cuckoo的依赖
cuckoo有很多的依赖,安装最主要的放在后面详细解释
sudo apt-get install git mongodb libffi-dev build-essential python-django python python-dev python-pip python-pil python-sqlalchemy python-bson python-dpkt python-jinja2 python-magic python-pymongo python-gridfs python-libvirt python-bottle python-pefile python-chardet tcpdump -y
无法安装出现设备锁去reboot(这里我换源完进行update和uppgrade,之后重启可以正常下载)
tcpdump(进行数据的信息的收集的)
sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
然后
getcap /usr/sbin/tcpdump
如果输出:/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip则表示已正确安装(如下图)
安装pydeep
这个可能会比较难下,文件会传到群里。
sudo wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.13/ssdeep-2.13.tar.gz/download -O ssdeep-2.13.tar.gz
然后解压目录,进入ssdeep的文件(终端)然后
sudo ./configure 、sudo make 、sudo make install
然后ssdeep -V和 pip show pydeep看看安装是否成功
这样代表安装成功
建议添加快照,防止之后出错。
安装Volatility
pip下载速度慢可以在指令后面加上(这里可能需要你进行sudo pip install --upgrade pip)进行更新,建议这里加上快照,防止因为版本不兼容导致出错。
-i https://pypi.douban.com/simple/
安装依赖
sudo pip install openpyxl ujson pycrypto distorm3 pytz
我这里pip先升级
之后安装显示成功。
git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
sudo python setup.py build
sudo python setup.py install
这里建议用群里的配置文件移动到虚拟机中进行安装
确认volatility安装无误
python vol.py -h
之后会出现vol的版本,如果之后跟着什么fail的提示信息建议返回快照重新下载,成功样子如下。
如果我箭头的位置上出现的是fail之类的指令,建议返回快照重装或者百度。
开始安装cuckoo
先安装一些依赖
sudo apt-get install libtiff5-dev libjpeg8-dev zlib1g-dev libfreetype6-dev liblcms2-dev libwebp-dev tcl8.6-dev tk8.6-dev python-tk
之后pip安装,想加速的看上面(建议在这里加快照,下面小心踩坑)
sudo pip install -U cuckoo
这里有两种情况,我自己是没有.cuckoo文件的,但是还是把两个情况发出来
在ubuntu文件夹下按住ctrl+h查看是否有./cuckoo这个文件,没有的话执行下面语句
cd /home/username/.local/bin/ #注意这里的username是你的Ubuntu用户名
而我这里是在这个目录下找到的,各位自己看自己的配置。
python cuckoo
执行完毕后,测试能否打开cuckoo
这样代表成功
cd /home
cuckoo -d
复制方便启动
sudo cp /home/(username)/.local/bin/cuckoo /usr/local/bin
cuckoo -d 启动,如果出现下面这种情况则证明安装成功但是需要配置。
或者出现errro 99:的情况也代表安装成功,但是需要配置文件。
guest(客户机)配置
安装virtualbox6.0
cat /etc/lsb-release
打开/etc/apt/sources.list添加
deb https://download.virtualbox.org/virtualbox/debian xenial contrib
这里有个坑就是,我复制进去几次都不成功老是报错说我添加的这一行有问题,然后我修改了后面连接出的空格,重新打了一次就好了。。。
添加公钥
wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
wget -q https://www.virtualbox.org/download/oracle_vbox.asc -O- | sudo apt-key add -
更新
sudo apt-get update
安装
sudo apt-get install virtualbox-6.0
安装时可能会很慢,建议耐心等待。
之后启动virtualbox,记得sudo启动,因为cuckoo是root权限,所以如果是非root权限的virtualbox,对于cuckoo来说是无法进行监听的。
建议箭头处的名字改为“cuckoo1”这样方便之后的virtualbox.conf的修改,也方便之后cuckoo之后的启动,我这里由于是其他名字,virtualbox.conf也修改了,但是启动还会有问题,找了好久才找到解决方案,建议直接命名cuckoo1,之后安装镜像,记得修改启动设置
然后记得导入盘片
然后启动
之后一路安装,记得关闭自动更新和防火墙
完毕之后设置网卡
网卡ip 192.168.56.1
这里需要设置VMware的网络
点击虚拟网络编辑器,将其设置成这样
然后设置guest的网络
之后在设置中进行Ubuntu的网络设置
设置成这样
配置完网络记得重启网络。
重启网络的方法就是在ubuntu的设置中进入网络,在有线连接中点击两下开启,即完成网络的重启。
之后转发IP
sudo -i
sysctl -w net.ipv4.ip_forward=1
echo 1 > /proc/sys/net/ipv4/ip_forward
gedit /etc/sysctl.conf #去掉net.ipv4.ip_forward=1 前的#号,保存
sysctl -p /etc/sysctl.conf
配置iptables
iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
sudo gedit /etc/network/interfaces
添加
pre-up iptables-restore < /etc/iptables.rules
post-down iptables-save > /etc/iptables.rules
记得指令在sudo情况下运行!!!!
此时Ubuntu主机就不能访问网页了,但是ping 8.8.8.8的话是可以ping通的,因此肯定是DNS出了问题,但是不影响,可以先不管。
如果非要管的话也行,终端输入sudo gedit /etc/resolv.conf
将nameserver 127.0.0.53 改为nameserver 114.114.114.114,保存,就可以访问网页了,但是千万不能重启网络,这样的话又会变成127.0.0.53了
这时我们需要下载python 2的安装包和pil的安装包
进行guest的配置(python、PIL、agent.py)
1.在Ubuntu环境中home下新建一个share文件夹, 将 .cuckoo/agent/agent.py复制进去,然后在share打开终端下载python2.7和PIL,记得是sudo!!!
wget https://www.python.org/ftp/python/2.7.13/python-2.7.13.msi
wget http://effbot.org/media/downloads/PIL-1.1.7.win32-py2.7.exe
2.安装virtualbox增强功能,主要是为了能够在virtualbox中共享文件夹
改启动顺序
移除磁盘
将新的放进去
进入xp虚拟机的我的电脑,可以看到下面多了一个网络驱动器,点进去就能看见共享的文件了,先安装python2.7后安装PIL。
重点!!!配置agent
把 agent.py 后缀改成 agent.pyw
将agent.pyw复制到C:\Python27\文件夹下,双击运行(是没有任何反应的)
打开cmd,输入netstat -an,查看本地8000端口是否在监听
如果8000端口正在监听,那说明此xp虚拟机就能被cuckoo所调用。
在这里生成virtualbox备份,名称叫snapshot1。
注意,这个agent不是开机自启动,每次使用记得点击agent。
配置cuckoo
配置cuckoo
cuckoo配置文件是非常重要的!!!
在 .cuckoo/conf/中修改配置文件:
cuckoo.conf:
machinery = virtualbox
[resultserver]
ip = 192.168.56.1 #This is the IP address of the host
port = 2042 #leave default unless you have services running
auxiliary.conf:
[sniffer]
enabled = yes
#Specify the path to your local installation of tcpdump. Make sure this
#path is correct.
tcpdump = /usr/sbin/tcpdump
virtualbox.conf:
machines = cuckoo1
[cuckoo1] 它默认写的是cuckoo1
label = cuckoo1
platform = windows
ip = 192.168.56.101 # IP address of the guest
snapshot = snapshot1
interface = vboxnet0
reporting.conf:
[mongodb]
enabled = yes
之后建议重启,然后打开终端,输入
sudo cuckoo -d
没有错误的话就
sudo cuckoo web runserver
如果cuckoo -d出现错误一般是两种情况:
一:agent未启动,导致cuckoo无法连接guest。
二: 网络未配置完全或者是virtualbox.conf配置错误。
具体错误建议看这篇文章
cuckoo错误解决方法
之后在浏览器输入127.0.0.0:8000进入界面即可使用,使用方法如下
cuckoo使用方法
PS:如果报文返回是 cuckoo not reply yet ,就是agent未启动,建议配置,cuckoo的启动成功是会出现以下界面的
最后祝大家安装成功。
927
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
