Cuckoo sandbox 安裝流程

# Cuckoo sandbox 安裝流程環境: - Host: Ubuntu 16.04.7 LTS - Guest: windows 7 ## 事前準備 ### 更新 ``` sudo apt-get update ``` ### 安裝相關套件 ``` sudo apt-get install python-sqlalchemy python-bson sudo apt-get install python python-pip python-dev libffi-dev libssl-dev sudo apt-get install python-virtualenv python-setuptools sudo apt-get install libjpeg-dev zlib1g-dev swig sudo apt-get install libtool automake libmagic-dev sudo apt-get install mongodb sudo apt-get install postgresql libpq-dev ``` ### 安裝 virtual box ``` sudo apt-get install virtualbox ``` ### 安裝 Yara ``` wget https://github.com/VirusTotal/yara/archive/v3.4.0.tar.gz tar xvfz v3.4.0.tar.gz cd yara-3.4.0/ ./bootstrap.sh ./configure --enable-cuckoo --enable-magic make sudo make install ``` ### 安裝 tcpdump ``` sudo apt-get install tcpdump apparmor-utils sudo aa-disable /usr/sbin/tcpdump ``` ## 安裝 cuckoo ``` sudo pip install -U pip==20.3.4 setuptools==44.1.1 sudo pip install -U cuckoo ``` ## 設定 cuckoo ### config 設定 - 需修改 /home/ubuntu/.cuckoo/conf 中，cuckoo.conf、auxiliary.conf、virtualbox.conf - 此處所說的resultserver即為Cuckoo host，此處的IP用於讓Analysis Guests傳輸資訊，因此須設定Virtual network網段的IP。 ![Pic_2551](https://hackmd.io/_uploads/SJkN-_x7Jx.jpg) - vboxnet0 為 VirtualBox的虛擬網路介面，預設是沒有此介面的，需要手動新增。 ![Pic_2552](https://hackmd.io/_uploads/HJs5-9xQyx.jpg) - 需新增 Host-only Networks，IPv4 位址設為 192.168.56.1，IPv4 網路遮罩設為 255.255.255.0 ![Pic_2553](https://hackmd.io/_uploads/B1goZql71e.jpg) - 在此設定檔中，有幾個參數需要特別做說明，cuckoo允許載入多個Analysis guest，透過參數『machines』可以載入多個Guest的設定（如圖示），以此設定檔為例 [cuckoo1] 即為一個Guest的設定（如圖示），cuckoo1為此設定的名稱（須與machines設定的名稱相同），而『label』則是此虛擬機的名稱（如圖示），IP則是Guest的IP address。 ![Pic_2554](https://hackmd.io/_uploads/HJ-DGcxXkx.jpg) ![Pic_2555](https://hackmd.io/_uploads/rJUPG5lmke.jpg) ![Pic_2556](https://hackmd.io/_uploads/rkOHX9x7yx.jpg) ### 虛擬機設定 #### 關閉自動更新、防火牆 - 控制台→系統及安全性→Windows Update下的開啟或關閉自動更新 - 控制台→系統及安全性→Windows 防火牆→開啟或關閉 Windows 防火牆→關閉 Windows 防火牆 ![Pic_2558](https://hackmd.io/_uploads/r1uJF5gXJg.jpg) #### 關閉 UAC - 控制台→使用者帳戶和家庭安全→使用者帳戶→變更使用者帳戶控制設定 ![Pic_2559](https://hackmd.io/_uploads/HyRr25e7yx.jpg) #### 設置靜態 IP - 將虛擬機設置靜態 IP ，IP 需與 virtualbox.conf 中 ip 一致 #### 在虛擬機中安裝 python 2.7 - 須注意 windows 是 64bit 或是 32bit #### Agent 設定 - agent.py 位置在 /home/ubuntu/.cuckoo/agent 中，將 agent.py 透過 vm 共用資料夾放進虛擬機中 - 執行 agent 後，將此狀態做 snapshot - 在 virtualbox.conf 中將 snapshot 改為此 snapshot，如： ``` # (Optional) Specify the snapshot name to use. If you do not specify a snapshot # name, the VirtualBox MachineManager will use the current snapshot. # Example (Snapshot1 is the snapshot name): snapshot = Snapshot 1 ``` ## 執行 cuckoo - 在 terminal 中執行 cuckoo，應出現 ![image](https://hackmd.io/_uploads/SyWmQixQyx.png) ## 參考資料來源: - https://cuckoo.readthedocs.io/en/latest/installation/ - https://www.syscom.com.tw/ePaper_New_Content.aspx?id=446&EPID=208&TableName=sgEPArticle - https://jameshclai.blogspot.com/2017/03/how-to-install-cuckoo-sandbox-step1.html - https://www.cnblogs.com/BenjaminNL/p/11139517.html - https://blog.csdn.net/2401_83974590/article/details/137646626