Cuckoo Sandbox 설치 가이드 (1/2)
Cuckoo Sandbox 설치 가이드를 정리합니다.
설치 가이드 게시글은 총 2부로 이루어져 있습니다.
1. Cuckoo Sandbox 개요
1. Cuckoo Sandbox는 오픈 소스로 제공되며, 악성코드 분석을 자동으로 수집하여 분석해주는 시스템이다.
2. 사용자는 Cuckoo host에서 명령을 내린 후 Analysis Guests를 통하여 악성코드 파일을 실행 및 분석하여 종합적인 분석 결과를 확인이 가능하다.
3. Cuckoo에서는 Windows PE File, PDF, Office Documents file등 문서파일 같이 다양한 종류 파일 분석이 가능하다.
4. Cuckoo Sandbox의 주요 기능은 다음과 같다.
-
악성코드에서 수행되는 Win32 API 함수 호출 추적
-
악성코드가 실행중인 동안 발생하는 파일 생성, 삭제, 다운로드 확인
-
악성코드 프로세스의 메모리 덤프
-
네트워크 트래픽 덤프
-
악성코드 실행중일 때 스크린 샷 기능
2. Cuckoo Sandbox 설치 환경
o 인프라 소프트웨어 구축 환경
Ubuntu 위에 KVM 기반의 Cuckoo SandBox 환경 구축
→ host OS: Ubuntu 14.04 LTS
→ Cuckoo Sandbox 1.2
→ KVM (guest PC - WindowsXP SP3)
3. Cuckoo Sandbox 설치
o Ubuntu Setting 및 사전 준비
- 최신버전으로 업그레이드를 하지 않을 시 오류가 발생하므로 반드시 최신 버전으로 업그레이드를 한 후 설치를 진행해야한다. 모든 것을 수행하기 전 반드시 수행해야 하는 명령어이다. 비교적 오랜 시간이 걸린다.
apt-get update; sudo apt-get upgrade -y; sudo apt-get dist-upgrade -y; sudo apt-get autoremove -y; |
- Cuckoo Sandbox는 python 언어로 제작되어 프로그램 실행하기 위해서 필요하다.
apt-get install python python-dev python-sqlalchemy python-dpkt python-jinja2 python-magic python-pymongo python-bottle -y |
- Svn 설치 S/W버전관리 프로그램으로 최신버전 소스코드를 받기 위해서 설치하기 위해서 필요하다.
apt-get install subversion svnadmin create --fs-type bdb test |
- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 “실행 압축 확인이 가능한 PE file 설치”
cd /opt apt-get install python-pefile svn checkout http://pefile.googlecode.com/svn/trunk/ pefile cd /opt/pefile python setup.py build python setup.py build install |
- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 “Fuzzy Hash를 사용하여 원본 파일과의 유사도 파악이 가능하게 해주는 ssdeep 설치”
apt-get install git apt-get install build-essential git libpcre3 libpcre3-dev libpcre++dev -y wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.9/ssdeep-2.9.tar.gz tar -xzf ssdeep-2.9.tar.gz rm -r ssdeep-2.9.tar.gz mv ssdeep-2.9 ssdeep cd /opt/ssdeep ./configure && make && make install Ldconfig cd /opt git clone https://github.com/kbandla/pydeep.git pydeep cd /opt/pydeep python setup.py build python setup.py install |
- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 “시그니처 기반의 파일 패턴 분석 기능을 지원하는 Yara 및 Yara-Python 설치”
sudo wget https://github.com/plusvic/yara/archive/v3.2.0.tar.gz tar xvfz v3.2.0.tar.gz rm -f v3.2.0.tar.gz cd /opt/v3.2.0 ./configure && make && make install wget http://yara-project.googlecode.com/files/yara-python-1.6.tar.gz tar xvfz yara-python-1.6.tar.gz rm -f yara-python-1.6.tar.gz python setup.py build python setup.py install cd /opt/v3.2.0 make install |
- Yara 설치 도중 다음과 같은 문제 발생 시 해결 명령어는 다음과 같다.
./configure 입력 시
[문제 발생] checking for SHA256_Final in -lcrypto... yes ./configure: line 12735: syntax error near unexpected token `newline' ./configure: line 12735: `ACX_PTHREAD(‘
[문제 해결] autoreconf -i --force" "./configure" again |
- Cuckoo에서 기본적으로 제공되는 분석 도구에 추가 분석 프로그램인 “파일 실행 시 발생하는 트래픽 분석을 위한 Tcpdump 설치”
apt-get install tcpdump setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump |
- 기본적으로 cuckoo를 사용하기 위하여 사용자 생성 및 설치하고 설치가 완료되면 다음 그림화면처럼 설치된 목록이 확인 가능하다.
useradd -m cuckoo git clone https://github.com/cuckoobox/cuckoo.git cuckoo
|
- MySQL 설치 후에 설정된 데이터베이스에 연결하기 위하여 cuckoo.conf 파일을 다음과 같이 수정해야 한다.
sudo apt-get install mysql-server python-mysqldb -y (root P/W 설정)
mysql -u root -p mysql> create database cuckoo; mysql> grant all privileges on cuckoo.* to cuckoo@localhost identified by 'Cuck00Sysc@re!' ; mysql> flush privileges; mysql> quit
vi /opt/cuckoo/conf/cuckoo.conf |
2부: Cuckoo Sandbox 설치 가이드 (2/2)
'슈개's IT > Engineer Room' 카테고리의 다른 글
[ERROR] 카카오 애드핏 심사 승인 "다시 조회하기" 문제해결 방법 (0) | 2020.12.22 |
---|---|
Cuckoo Sandbox 설치 가이드 (2/2) (0) | 2020.12.21 |
[ERROR] VMware OVF 패키지 배포 시 에러 해결방법 (0) | 2020.12.21 |
악성코드 분석 관련 사이트 정리 (0) | 2013.08.27 |
Hack the Packet 2012 문제풀이 (0) | 2012.10.29 |