Cuckoo 2.0.3 前編
勉強会でcuckooに触る機会があったので、手元の環境でも作ってみようと思いました。
鳥さんかわいい
準備するモノ
・Ubuntu 16.04LST(公式推奨)
- Python2.7
- YARA
- Virtual box(5.0/5.1)
- ssdeep・pydeep
- tcpdump
- distrom
- Volarility
- Cuckoo 2.0.3
・Windows7 クライアント(32bit)
ModernIEでVirtual box用のイメージをダウンロードします。
*64bitだと一部公式では取り扱いのないモジュールがあるようです。
- Python2.7.13(for Win)
- Pythonライブラリ(PIL 1.1.7)
・マルウェアなど
インストール
Cuckooはスーパーユーザでのインストールは推奨されていません。当たり前か。
ローカルユーザ(Cuckooユーザ)で作業します。
CuckooをインストールしたユーザとVirtual boxを起動するユーザが同じでないとうまく動かないようです。
Ubuntu 16.04 で以下のコマンドを実行します。
Python及び関連ライブラリのインストール
$ sudo apt-get install -y python python-pip python-dev libffi-dev libssl-dev $ sudo apt-get install -y python-virtualenv python-setuptools $ sudo apt-get install -y libjpeg-dev zlib1g-dev swig
Gitのインストール
$ sudo apt-get -y install git
MongoDBのインストール
$ sudo apt-get -y install mongodb
PostgreSQLのインストール
$ sudo apt-get -y install postgresql libpq-dev
yaraのインストール
$ sudo apt-get -y install libtool automake libjansson-dev libmagic-dev $ wget https://github.com/plusvic/yara/archive/v3.1.0.tar.gz $ tar zxvf v3.1.0.tar.gz $ cd yara-3.1.0/ $ ./bootstrap.sh $ ./configure --enable-cuckoo --enable-magic $ make && sudo make install # yara-pythonをコンパイルする $ cd yara-python/ $ python setup.py build $ sudo python setup.py install # yaraをldconfigする $ sudo su # echo "/usr/local/lib" >> /etc/ld.so.conf # ldconfig # exit
VirtualBoxのインストール
$ echo deb http://download.virtualbox.org/virtualbox/debian xenial contrib | sudo tee -a /etc/apt/sources.list.d/virtualbox.list $ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add - $ sudo apt-get update $ sudo apt-get install -y virtualbox-5.1
ssdeepとpydeepのインストール
$ sudo apt-get -y install ssdeep python-pyrex libfuzzy-dev subversion $ sudo pip install pydeep
tcodumpのインストール
$ sudo apt-get install -y tcpdump apparmor-utils $ sudo aa-disable /usr/sbin/tcpdump $ sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump # 設定内容の確認 $ getcap /usr/sbin/tcpdump -> "/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip"となっていること。
Distormのインストール
$ cd $ git clone https://github.com/gdabah/distorm.git $ cd distorm $ sudo python setup.py install
Volatilityのインストール
$ cd $ git clone https://github.com/volatilityfoundation/volatility.git $ cd volatility/ $ sudo python setup.py install
Cuckooのインストール
$ sudo pip install -U pip setuptools $ sudo pip install -U cuckoo
MongoDBの設定変更
$ vi $CWD/conf/reporting.conf --reporting.conf-- [mongodb] enabled = no -> yes host = 127.0.0.1 port = 27017 db = cuckoo store_memdump = yes paginate = 100 --snip------------
Virtual boxのHostOnlyアダプタの追加
$ sudo VBoxManage hostonlyif create
Cuckooを起動してみる
$cuckoo
初回起動を済ませると、.cuckooが生成されます。
ホスト側のインストールはこれで終了。
Cuckooの設定とModernIEをデプロイしていきます。
次回に続く…?