インターネットにつながらない話。

f:id:drunkbeer:20170825164351p:plain
ネットにつながらないと思ったら、通信障害だそうです。

どこかのお国から攻撃が来ているのかと思い、いつものところに行ってみました。
f:id:drunkbeer:20170825164555p:plain


バンバン攻撃受けてます…
f:id:drunkbeer:20170825164640p:plain
f:id:drunkbeer:20170825164751p:plain

120万パケットだそうで。
f:id:drunkbeer:20170825164923p:plain
なかなかの超人強度。ブロッケンジュニアよりは強そうですね。
f:id:drunkbeer:20170825165532p:plain

トップはやっぱり?あの国でした…
f:id:drunkbeer:20170825165156p:plain

あな恐ろしや。

2017/8/28 追記

本件、G○○gleさんの設定ミスの様です。
sites.google.com
他人事ではないですね…
あな恐ろしや。

Cuckoo 2.0.3 前編

勉強会でcuckooに触る機会があったので、手元の環境でも作ってみようと思いました。
鳥さんかわいい

準備するモノ

Ubuntu 16.04LST(公式推奨)
 - Python2.7
 - YARA
 - Virtual box(5.0/5.1)
 - ssdeep・pydeep
 - tcpdump
 - distrom
 - Volarility
 - Cuckoo 2.0.3

Windows7 クライアント(32bit)
 ModernIEでVirtual box用のイメージをダウンロードします。
 *64bitだと一部公式では取り扱いのないモジュールがあるようです。
 - Python2.7.13(for Win)
 - Pythonライブラリ(PIL 1.1.7)
マルウェアなど

Ubuntuのインストール

仮想マシンを稼働させるため、ある程度スペックが要求されます。
・必要要件
 CPU:クアッドコア
 メモリ:4GB(最小 2GB)
 HDD:360GB(最小 40GB)

インストール

Cuckooはスーパーユーザでのインストールは推奨されていません。当たり前か。
ローカルユーザ(Cuckooユーザ)で作業します。
CuckooをインストールしたユーザとVirtual boxを起動するユーザが同じでないとうまく動かないようです。

Ubuntu 16.04 で以下のコマンドを実行します。

Python及び関連ライブラリのインストール
$ sudo apt-get install -y python python-pip python-dev libffi-dev libssl-dev
$ sudo apt-get install -y python-virtualenv python-setuptools
$ sudo apt-get install -y libjpeg-dev zlib1g-dev swig
Gitのインストール
$ sudo apt-get -y install git
MongoDBのインストール
$ sudo apt-get -y install mongodb
PostgreSQLのインストール
$ sudo apt-get -y install postgresql libpq-dev
yaraのインストール
$ sudo apt-get -y install libtool automake libjansson-dev libmagic-dev
$ wget https://github.com/plusvic/yara/archive/v3.1.0.tar.gz
$ tar zxvf v3.1.0.tar.gz
$ cd yara-3.1.0/
$ ./bootstrap.sh
$ ./configure --enable-cuckoo --enable-magic
$ make && sudo make install

# yara-pythonをコンパイルする
$ cd yara-python/
$ python setup.py build
$ sudo python setup.py install

# yaraをldconfigする
$ sudo su
# echo "/usr/local/lib" >> /etc/ld.so.conf
# ldconfig
# exit
VirtualBoxのインストール
$ echo deb http://download.virtualbox.org/virtualbox/debian xenial contrib | sudo tee -a /etc/apt/sources.list.d/virtualbox.list
$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add  -
$ sudo apt-get update
$ sudo apt-get install -y virtualbox-5.1
ssdeepとpydeepのインストール
$ sudo apt-get -y install ssdeep python-pyrex libfuzzy-dev subversion
$ sudo pip install pydeep
tcodumpのインストール
$ sudo apt-get install -y tcpdump apparmor-utils
$ sudo aa-disable /usr/sbin/tcpdump
$ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

# 設定内容の確認
$ getcap /usr/sbin/tcpdump
 -> "/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip"となっていること。
Distormのインストール
$ cd
$ git clone https://github.com/gdabah/distorm.git
$ cd distorm
$ sudo python setup.py install
Volatilityのインストール
$ cd
$ git clone https://github.com/volatilityfoundation/volatility.git
$ cd volatility/
$ sudo python setup.py install
Cuckooのインストール
$ sudo pip install -U pip setuptools
$ sudo pip install -U cuckoo
MongoDBの設定変更
$ vi $CWD/conf/reporting.conf
--reporting.conf--
[mongodb]
enabled = no
       -> yes 
host = 127.0.0.1
port = 27017
db = cuckoo
store_memdump = yes
paginate = 100
--snip------------
Virtual boxのHostOnlyアダプタの追加
$ sudo VBoxManage hostonlyif create

Cuckooを起動してみる

$cuckoo

f:id:drunkbeer:20170815230704p:plain

初回起動を済ませると、.cuckooが生成されます。
ホスト側のインストールはこれで終了。
Cuckooの設定とModernIEをデプロイしていきます。

次回に続く…?