Dev
Cuckoo Sandbox Install: (2) 본문
2. cuckoo 코어 설치
다음과 같은 command를 통해 cuckoo 코어 설치:
sudo pip2.7 install cuckoo
sudo pip2.7 install -U cuckoo
cuckoo
3. sandbox 구성
1) VirtualBox 설치
※ 수동으로 설치시 다음과 같이 command 입력:
wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
echo "deb [arch=amd64] http://download.virtualbox.org/virtualbox/debian focal contrib" | sudo tee /etc/apt/sources.list.d/virtualbox.list
sudo apt update
sudo apt-get install virtualbox
2) 가상머신 생성 및 구성
(1) 가상머신 다운로드 및 생성
https://www.microsoft.com/ko-kr/software-download/windows10ISO
Windows 10 디스크 이미지 다운로드(ISO 파일)
요청의 유효성을 검사하는 중입니다. 이 작업은 몇 분 정도 걸릴 수 있습니다. 페이지를 새로 고치거나 뒤로 이동하지 마세요. 그러면 요청이 취소됩니다.
www.microsoft.com
[Virtualbox] - [New]:
machine 이름은 cuckoo1으로 설정.
필자는 Base Memory 4000MB, Processors 2, 50GB 할당.
다운로드한 이미지 디스크를 삽입 후 OK
(2) python 2.7 및 pillow 라이브러리 설치
생성한 cuckoo1을 부팅하고 python 2.7 다운로드 및 설치:
https://www.python.org/ftp/python/2.7.13/python-2.7.13.msi
cmd를 열고 다음과 같은 command를 입력하여 pillow 라이브러리 설치:
cd C:\Python27\Scripts
pip install pillow
3) 방화벽 및 UAC 설정
(1) 방화벽 OFF
(2) UAC(사용자 계정 컨트롤) OFF
4) 가상머신 네트워크 구성
(1) Hostonly Network 설정
hostonly 어댑터 생성 및 설정:
sudo vboxmanage hostonlyif create
sudo vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.10
(2) iptables 설정
설정 후 저장하려면 iptable 설정하기 전에 다음과 같은 command :
sudo apt-get install iptables-persistent
※ 재부팅시 iptable 초기화. 따라서 스크립트 파일로 저장하거나, 명령어로 설정한 iptable을 저장.
https://cuckoo.readthedocs.io/en/latest/installation/host/routing/
Per-Analysis Network Routing — Cuckoo Sandbox v2.0.7 Book
Per-Analysis Network Routing Since Cuckoo 2.0-rc1 it is possible to feature per-analysis network routing. In other words, if you have one VM and three samples to analyze, it is possible to deny internet access for the first analysis, route the second analy
cuckoo.readthedocs.io
다음과 같이 iptables 설정:
sudo iptables -t nat -A POSTROUTING -o ens33 -s 192.168.56.10/24 -j MASQUERADE
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 192.168.56.10/24 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.56.10/24 -d 192.168.56.10/24 -j ACCEPT
sudo iptables -A FORWARD -j LOG
sudo iptables -L -v
command를 입력하고 오픈한 conf 파일에서 net.ipv4.ip_forward = 1 부분을 찾아 활성화:
sudo nano /etc/sysctl.conf
설정한 iptables을 저장:
sudo sysctl -p /etc/sysctl.conf
sudo netfilter-persistent save
sudo cat /etc/iptables/rules.v4* 설정한 ip는 sandbox 내에서 static으로 변경
5) 공유폴더 설정 및 스냅샷
[Devices] - [Shared Folder] - [Shared Folders Settings...] 선택 후
디렉터리 경로는 cuckoo 폴더의 agent로 지정, Auto-mount·Make-Permanent 체크:
* .cuckoo 폴더가 보이지 않을경우 ctrl + H. cuckoo 명령 실행해야 생성되는 폴더.
VirtualBox의 상단 메뉴 [Devices] - [Insert Guest Additions CD image...]
다음과 같이 나타나면 해당 파일 다운로드 후 insert :
CD 드라이브에서 VirtualBox Guest Additions 설치:
재부팅 후 네트워크에서 공유폴더의 이름이 변경되면 공유폴더 설정 완료.
agent.py 파일을 바탕화면으로 복사하여 실행:
ubuntu에서 다음과 같은 command 실행하여 스냅샷 설정:
VBoxManage snapshot "cuckoo1" take "Snapshot1" --pause
VBoxManage controlvm "cuckoo1" poweroff
VBoxManage snapshot "cuckoo1" restorecurrent
'Cyber Security' 카테고리의 다른 글
| Cuckoo Sandbox: Unable to stop auxiliary module: Sniffer (0) | 2023.07.21 |
|---|---|
| Cuckoo Sandbox Install: (3) (0) | 2023.04.24 |
| Cuckoo Sandbox Install: (1) (0) | 2023.04.18 |
| tcpdump directory issue: /usr/sbin/tcpdump (0) | 2023.03.02 |
| yara와 yara의 대체를 찾아서(1) (0) | 2023.02.12 |