슈개's IT/Engineer Room

Cuckoo Sandbox 설치 가이드 (1/2)

슈개 2020. 12. 21. 20:29
반응형

Cuckoo Sandbox 설치 가이드 (1/2)

 

 

 

Cuckoo Sandbox 설치 가이드를 정리합니다.

설치 가이드 게시글은 총 2부로 이루어져 있습니다.

 

 

1. Cuckoo Sandbox 개요

1. Cuckoo Sandbox는 오픈 소스로 제공되며, 악성코드 분석을 자동으로 수집하여 분석해주는 시스템이다.

2. 사용자는 Cuckoo host에서 명령을 내린 후 Analysis Guests를 통하여 악성코드 파일을 실행 및 분석하여 종합적인 분석 결과를 확인이 가능하다.

3. Cuckoo에서는 Windows PE File, PDF, Office Documents file등 문서파일 같이 다양한 종류 파일 분석이 가능하다.

4. Cuckoo Sandbox의 주요 기능은 다음과 같다.

  • 악성코드에서 수행되는 Win32 API 함수 호출 추적

  • 악성코드가 실행중인 동안 발생하는 파일 생성, 삭제, 다운로드 확인

  • 악성코드 프로세스의 메모리 덤프

  • 네트워크 트래픽 덤프

  • 악성코드 실행중일 때 스크린 샷 기능

 

2. Cuckoo Sandbox 설치 환경

o 인프라 소프트웨어 구축 환경

Ubuntu 위에 KVM 기반의 Cuckoo SandBox 환경 구축

host OS: Ubuntu 14.04 LTS

Cuckoo Sandbox 1.2

KVM (guest PC - WindowsXP SP3)

Cuckoo Sandbox 설치 환경

 

 

3. Cuckoo Sandbox 설치

o Ubuntu Setting 및 사전 준비

- 최신버전으로 업그레이드를 하지 않을 시 오류가 발생하므로 반드시 최신 버전으로 업그레이드를 한 후 설치를 진행해야한다. 모든 것을 수행하기 전 반드시 수행해야 하는 명령어이다. 비교적 오랜 시간이 걸린다.

apt-get update; sudo apt-get upgrade -y; sudo apt-get dist-upgrade -y; sudo apt-get autoremove -y;

 

- Cuckoo Sandboxpython 언어로 제작되어 프로그램 실행하기 위해서 필요하다.

apt-get install python python-dev python-sqlalchemy python-dpkt python-jinja2 python-magic python-pymongo python-bottle -y

 

- Svn 설치 S/W버전관리 프로그램으로 최신버전 소스코드를 받기 위해서 설치하기 위해서 필요하다.

apt-get install subversion

svnadmin create --fs-type bdb test

 

- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 실행 압축 확인이 가능한 PE file 설치

cd /opt

apt-get install python-pefile

svn checkout http://pefile.googlecode.com/svn/trunk/ pefile

cd /opt/pefile

python setup.py build

python setup.py build install

 

- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 “Fuzzy Hash를 사용하여 원본 파일과의 유사도 파악이 가능하게 해주는 ssdeep 설치

apt-get install git

apt-get install build-essential git libpcre3 libpcre3-dev libpcre++dev -y

wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.9/ssdeep-2.9.tar.gz

tar -xzf ssdeep-2.9.tar.gz

rm -r ssdeep-2.9.tar.gz

mv ssdeep-2.9 ssdeep

cd /opt/ssdeep

./configure && make && make install

Ldconfig

cd /opt

git clone https://github.com/kbandla/pydeep.git pydeep

cd /opt/pydeep

python setup.py build

python setup.py install

- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 시그니처 기반의 파일 패턴 분석 기능을 지원하는 Yara Yara-Python 설치

sudo wget https://github.com/plusvic/yara/archive/v3.2.0.tar.gz

tar xvfz v3.2.0.tar.gz

rm -f v3.2.0.tar.gz

cd /opt/v3.2.0

./configure && make && make install

wget http://yara-project.googlecode.com/files/yara-python-1.6.tar.gz

tar xvfz yara-python-1.6.tar.gz

rm -f yara-python-1.6.tar.gz

python setup.py build

python setup.py install

cd /opt/v3.2.0

make install

 

- Yara 설치 도중 다음과 같은 문제 발생 시 해결 명령어는 다음과 같다.

./configure 입력 시

 

[문제 발생]

checking for SHA256_Final in -lcrypto... yes

./configure: line 12735: syntax error near unexpected token `newline'

./configure: line 12735: `ACX_PTHREAD(‘

 

[문제 해결]

autoreconf -i --force" "./configure" again

 

- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 파일 실행 시 발생하는 트래픽 분석을 위한 Tcpdump 설치

apt-get install tcpdump

setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

 

- 기본적으로 cuckoo를 사용하기 위하여 사용자 생성 및 설치하고 설치가 완료되면 다음 그림화면처럼 설치된 목록이 확인 가능하다.

useradd -m cuckoo

git clone https://github.com/cuckoobox/cuckoo.git cuckoo

 

 

 

- MySQL 설치 후에 설정된 데이터베이스에 연결하기 위하여 cuckoo.conf 파일을 다음과 같이 수정해야 한다.

sudo apt-get install mysql-server python-mysqldb -y

(root P/W 설정)

 

mysql -u root -p

mysql> create database cuckoo;

mysql> grant all privileges on cuckoo.* to cuckoo@localhost identified by 'Cuck00Sysc@re!' ;

mysql> flush privileges;

mysql> quit

 

vi /opt/cuckoo/conf/cuckoo.conf

 

 

2부: Cuckoo Sandbox 설치 가이드 (2/2)

tbvjrornfl.tistory.com/81

 

Cuckoo Sandbox 설치 가이드 (2/2)

Cuckoo Sandbox 설치 가이드 (2/2) Cuckoo Sandbox 설치 가이드 2부 내용입니다. 4. KVM 설치 - 기존 Virtualbox 달리, KVM 하이퍼바이저 기반으로 설치하기 위하여 다음과 같이 명령어를 입력하여 설치를 한..

tbvjrornfl.tistory.com

 

 

반응형