Cuckoo Sandbox Install: (1)

Cuckoo Sandbox 구성

 

🌟 Cuckoo Server

• OS: Ubuntu 22.04
• IP: 192.168.159.135 

 

🌟 Sandbox

• cuckoo1
• OS: Windows 7 32bit
• IP: 192.168.56.10

 

 

 

Cuckoo Sandbox 구축 순서:

🌟 기본 패키지 및 라이브러리 설치

🌟 cuckoo 코어 설치

🌟 sandbox 구성

🌟 cuckoo 웹 데이터베이스 구성

🌟 cuckoo 설정 및 실행

 

---

 

1. 기본 패키지 및 라이브러리 설치

• 패키지 및 라이브러리 설치할 준비를 위해 업데이트.

sudo apt-get update

 

 

1) 기본 패키지 및 라이브러리 설치

 

현재 버전 22.04 기준으로 구축시 python2.7, python3 혼용 설치 필요.

sudo apt-get install python2.7 python2.7-dev python3 python3-dev python3-pip

 

pip 2버전을 설치하기 위해 다음과 같은 command:

sudo add-apt-repository universe
sudo apt-get install curl
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.py
sudo python2.7 get-pip.py

유니버스 리포지토리 활성화 후, curl 스크립트로 다운로드하여 pip를 설치.

 

 

나머지 라이브러리 설치 진행:

sudo apt-get install subversion
sudo apt-get install libssl-dev libjpeg-dev zlib1g-dev libffi-dev git
sudo apt-get install automake autoconf libtool build-essential wget swig
sudo apt-get install libpcre3 libpcre3-dev libpcre++-dev -y
sudo apt-get install python3-magic python3-dpkt python3-sqlalchemy python3-jinja2 -y
sudo apt-get install python3-pymongo python3-bottle python3-virtualenv python-setuptools -y

 

 

2) tcpdump

 

• tcpdump

    네트워크 상 송수신되는 패킷들의 정보들을 가로채(스니핑) 정보들을 표시해주는 네트워크 패킷 캡처 및 분석도구.

    cuckoo sandbox에서는 분석 중 malware에 의해 생성된 네트워크 트래픽을 캡처하고 분석하여 데이터를 제공.

 

 

다음 command를 통해 tcpdump와 apparmor-utils 설치:

sudo apt-get install tcpdump apparmor-utils

 

app armor를 비활성화하고, tcpdump를 root 권한 없이 사용할 수 있도록 설정:

sudo aa-disable /usr/bin/tcpdump
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/tcpdump

※ tcpdump issue : https://jihyun-dev.tistory.com/4 

tcpdump directory issue: /usr/sbin/tcpdump

 

 

3) ssdeep, pydeep

 

(1) ssdeep 설치

 

• ssdeep

    Fuzzy Hash를 사용하여 원본 파일과 유사도 측정, Hash 값을 통해 무결성 체크.

    sandbox에 submit된 파일의 Hash값을 통해 malware의 변종인지 비교하는데 사용, 관련있는 파일을 빠르게 식별.

    

 

다음 command를 통해 ssdeep.tar.gz 파일 다운로드 및 압축해제:

wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.13/ssdeep-2.13.tar.gz
tar zxf ssdeep-2.13.tar.gz
rm -r ssdeep-2.13.tar.gz
mv ssdeep-2.13 ssdeep

 

ssdeep 디렉터리로 이동하여 설정:

cd ssdeep
./configure && make && make install
sudo ldconfig

 

 

(2) pydeep

 

• pydeep

    cuckoo sandbox에 있어서 pydeep은 Fuzzy Hashing을 수행, 파일을 cuckoo sandbox에 submit하면 pydeep이

    해당 파일에 대한 CTPH Hash를 생성하고 알려진 Hash 데이터베이스와 비교하여 분석 진행.

    즉, 잠재적으로 악성일 파일을 효율적으로 분석 및 식별 가능.

 

 

다음 command를 통해 pydeep 설치:

git clone https://github.com/kbandla/pydeep.git pydeep
cd pydeep
sudo apt-get install libfuzzy-dev
python3 setup.py build
sudo python3 setup.py install

 

 

4) pefile

 

• pefile

    실행파일(.exe), DLL 및 기타 바이너리 파일에 사용하는 파일 형식인 PE(Portable Executable)파일에 작업하는

    Python 모듈. malware 분석에서 PE파일의 정보 추출이 가능하며, 추출 정보는 주로 파일의 목적, malware 여부, 

    실행 시 어떤 동작을 보이는지 파악하는데 사용.

 

 

다음 command를 통해 PE file 다운로드:

wget https://github.com/erocarrera/pefile/releases/download/v2023.2.7/pefile-2023.2.7.tar.gz
tar zxf pefile-2023.2.7.tar.gz
rm -r pefile-2023.2.7.tar.gz
mv pefile-2023.2.7 pefile

 

pefile 디렉터리로 이동하여 설치:

cd pefile
python3 setup.py build
sudo python3 setup.py install

 

 

 

5) yara

 

• yara

    malware 패턴 매칭 및 탐지에 사용. 특정 malware의 동작이나 특성을 식별하기 위해 yara rule을 생성하고

    이 rule을 사용하여 파일, 메모리에서 잠재적인 malware를 검사 가능(Signature 기반 탐지)

 

 

yara-4.3.0.tar.gz 파일을 다운로드:

wget https://github.com/VirusTotal/yara/archive/refs/tags/v4.3.0.tar.gz
tar zxf v4.3.0.tar.gz
rm -r v4.3.0.tar.gz
mv yara-4.3.0 yara

 

yara 디렉터리로 이동, 설치 및 설정 완료:

cd yara
sudo apt-get install libtool*
./bootstrap.sh
./configure
make
sudo make install

 

yara를 python에서 사용할 수 있도록 다음 command를 통해 yara-python 설치:

git clone --recursive https://github.com/VirusTotal/yara-python
cd yara-python
python3 setup.py build
sudo python3 setup.py install

 

6) m2crypto

 

• m2crypto

     암호화, 암호 해독 및 디지털 서명 등 암호화 기능에 사용되는 Python 라이브러리.

     SSL/TLS 암호화 및 디지털 인증서 관리와 같은 네트워크 보안 애플리케이션에 사용.

 

 

다음 command를 통해 m2crypto를 설치:

sudo pip install m2crypto

 

 

7) Volatility

 

• Volatility

    메모리 덤프에서 malware나 해킹, 기타 보안 사고 증거를 분석하는데 사용되는 메모리 포렌식 도구.

    실행 중인 프로세스, 개방형 네트워크 연결 및 보안 문제를 나타낼 수 있는 기타 시스템 활동에 대한 정보 추출하는데

    사용.

 

 

volatility를 git clone으로 복제하여 받아오고 해당 디렉터리로 이동 및 설치:

sudo git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python3 setup.py build
sudo python3 setup.py install

 

 

• distorm3

    리버스 엔지니어링 및 malware 분석에 사용. 실행 코드를 어셈블리 언어로 디스어셈블하는데 사용되는 디스어셈블러

    라이브러리로, 프로그램의 작동 방식과 기능을 파악하는데 이용.

 

 

distorm3을 다운로드하고 압축 해제:

sudo apt-get install libboost-all-dev
wget https://github.com/gdabah/distorm/archive/v3.4.4.tar.gz
tar zxvf v3.4.4.tar.gz
sudo rm -r v3.4.4.tar.gz
mv distorm-3.4.4 distorm3

 

distorm3 디렉터리로 이동 후 설치:

cd distorm3
sudo python3 setup.py build
sudo python3 setup.py install