Cuckoo 1.2 On Ubuntu 16.04

#들어가는 말

최근에는 2.0 Rc 버전이 릴리즈 되었지만, 불안정한 모습을 많이 보여서 배포 버전인 1.2 버전을 사용 중이다.

모든 것은 Ubuntu 16.04 순정기준 포맷 후 OS설치가 완료된 상황을 가정하고 이야기 한다.

#쿠쿠

쿠쿠는 샌드박스 타입의 악성코드 분석 프로젝트이다.  (https://www.cuckoosandbox.org/)

검사는, URL과 파일에 대한 동적 검사를 할 수 있다. 직접 사람이 실행시킨 것 과 같은 분석 시스템이어서

오픈소스 치고는 악성코드 분석가들 사이에서 평이 좋다.

볼라빌리티와 연계해서 메모리포렌식도 가능하다. 2.0 rc 부터는 안드로이드 분석도 탑재 진행 중이다. 흠좀무.

#설치

> sudo passwd root

> apt-get update;

> apt-get install -y python-dev python-pip libtool byacc flex bison git virtualbox libfuzzy-dev tcpdump mongodb libvirt-dev vim python-lxml python-bson yara python-yara build-essential libpcre3 libpcre3-dev libpcre++-dev python-sqlalchemy python-jinja2 python-magic python-pymongo python-bottle python-pip python-pefile python-cffi python-cryptography m2crypto;

> apt-get install -y openssh-server vsftpd filezilla -y

> pip install maec cybox Pydeep Nose Bottle Django==1.8.4

[방화벽설정]

> ufw allow 22/tcp

> ufw allow 8090/tcp

[쿠쿠 설치]

> cd /opt;

> wget -io https://github.com/cuckoosandbox/cuckoo/archive/1.2.tar.gz

> 혹은 git clone https://git~~~/1.2.tar.gz

> tar xvf 1.2.tar.gz

[TCPDUMP 설정]

> setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

> getcap /usr/sbin/tcpdump

[hostonly nic 생성]

> vboxmanage hostonlyif create

> vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1

[nic 라우팅 설정]

> iptables -A FORWARD -o (host_nic이름) -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT

> iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT   

   참고로 Established,related 이렇게 붙여써야 한다. 한번은 이것 때문에 고생한적이 있음. 부들부들

> iptables -A POSTROUTING -t nat -j MASQUERADE

> stsctl -w net.ipv4.ip_forward=1

> stsctl -p

[쿠쿠 설정]

> vi /conf/cuckoo.conf

result ip : 192.168.56.1 (hostonly 의 게이트웨이)

virtualbox.conf

cuckoo1 ip: 192.168.56.101 (게스트 vm의 ip주소)