0x00 cuckoo概述
Cuckoo是一款开源的自动化恶意软件分析系统,目前主要用于分析windows平台下的恶意软件,但其框架同时支持Linux和Mac OS。cuckoo能够自动化获取如下信息:
- 能够跟踪恶意软件进程及其产生的所有进程的win32 API调用记录;
- 能够检测恶意软件的文件创建、删除和下载;
- 能够获取恶意软件进程的内存镜像;
- 能够获取系统全部内存镜像,方便其他工具进行进一步分析;
- 能够以pacp格式抓取网络数据;
- 能够抓取恶意软件运行时的截图。
Cuckoo支持分析多种文件格式,包括windows可执行文件,DLL文件,PDF文档,Office文档,恶意URL,HTML文件,PHP文件,CPL文件,VBS,ZIP压缩文件,jar文件,python程序等。这些完全依赖于他的分析模块。
下图是cuckoo的架构图,非常清晰。Cuckoo依赖于下面的虚拟机进行实际的分析,然后通过虚拟网络将分析结果传输给cuckoo host。所以cuckoo的运行至少需要一个虚拟化环境。目前cuckoo能够支持vmware,virtualbox,kvm,qemu,xen,avd等主流虚拟化平台。
Cuckoo的架构是高度模块化的,只要我们添加不同的分析模块,cuckoo就能够完成不同系统平台下的分析工作。
0x01 环境搭建
测试环境是host:kali 2.0 x64,guest:windows xp sp3 en。
1.1 安装
获取cuckoo,我们从github上获取***的cuckoo:
Git clone https://github.com/cuckoobox/cuckoo.git
安装cuckoo依赖的python库:
$ sudo apt-get install python python-pip $ sudo apt-get install mongodb $ sudo pip install -r requirements.txt
此处安装可能会出现问题,是系统所安装的python库与pip安装的库版本不一致导致的,因为系统所安装的python库往往比较旧,而pip安装的库比较新,且pip安装的其他库依赖较新的库,所以导致问题。解决方法是将系统的python库卸载,不过系统的某些python库存在依赖,需要用dpkg --purge --force-all 包名来强制卸载,然后再用pip来安装即可解决。
$ sudo apt-get install tcpdump $ sudo apt-get install libcap2-bin
如果想进行内存镜像分析,需要安装volatility。
$ sudo apt-get install volatility
启用截图功能,需要Python Image库
$ sudo pip install PIL
这里我们采用virtualbox虚拟化平台,所以需要下载并安装virtualbox。
1.2 配置
软件安装好后,需要先创建一个虚拟机,可以利用virtualbox图形界面进行操作。Cuckoo在运行的时候,需要在host上监听一个地址,用于获取报告信息,而这个地址虚拟机必须能够访问的到。这里采用的网络配置是将虚拟机网卡调整为host-only模式,相当于虚拟机与host之间连接了一根网线。此时,host的网卡列表中会有一个类似vboxnet0的网卡,这就是host与虚拟机之间通信的网卡。虚拟机内部的ip地址可以自己设置,只要跟vboxnet0的地址在一个网段即可。默认情况下vboxnet0是192.168.56.1。虚拟机可以是192.168.56.101。
为了让虚拟机能够正常的访问外网,host还需要进行数据转发,参考官方的命令:
iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A POSTROUTING -t nat -j MASQUERADE sysctl -w net.ipv4.ip_forward=1
其中***条命令中的eth0是你host的上网用的真实网卡地址,vboxnet0则是虚拟网卡。
***一条是开启内核数据转发。
装好虚拟机系统后,为达到***的兼容效果,需要将windows虚拟机的防火墙,自动更新关闭,然后需要安装python2.7环境。并将cuckoo根目录下agent/agent.py复制到虚拟机中。agent.py负责虚拟机到主机的数据传输,可以将其添加到startup文件夹下,开机自动启动,如果不想出现黑窗口,可以修改文件名agent.py到agent.pyw。运行agent.pyw后,此时的虚拟机环境基本搭建完成了,当然,如果需要分析office或者pdf等,那么还需要安装这些软件。现在可以创建一个纯净的系统快照了,以备后用。
虚拟机配置完成之后,就是配置cuckoo了。Cuckoo的配置文件在conf目录下,该目录下有很多配置文件,其中:
auxiliary.conf 是辅助配置模块,用于辅助其他功能如sniffer,mitm。这里可以不用配置。
cuckoo.conf是主要配置文件,最主要的是machinery用于指定我们使用的虚拟机配置文件,默认是virtualbox,该文件同样位于conf目录下,名字是virtualbox.conf。当然我们可以自己定义自己的虚拟机配置文件,并放在conf目录下,命名规则是一样的。另外重要的选项是ip和port,用于指定接收分析结果的服务器。该地址必须能够让虚拟机访问到,一般设置为虚拟网卡的地址,比如上面配置的vboxnet0地址192.168.56.1,端口默认就可以。
memory.conf是内存镜像配置选项,主要用于Volatility分析,这里可以不用配置。
processing.conf是结果处理配置模块,其中的配置选项直接影响最终报告的内容,这里可以不用配置。
reporting.conf用于配置报告生成的方式,这里可以不用配置。
***我们在配置一下cuckoo的web界面。需要开启reporting.conf中的mongodb。然后开启mongodb服务:systemctl enable mongodb;systemctl start mongodb。现在可以启动web服务web/manage.py runserver。服务运行于127.0.0.1:8000。
1.3 运行
Python cuckoo.py 运行cuckoo分析系统。如下图:
启动后cuckoo开始等待分析任务。添加分析任务使用根目录下的utils/的submit.py。具体用法可以看帮助,这里主要介绍利用web界面来添加任务及查看报告。
在浏览器中打开127.0.0.1:8000
点击submit添加任务,同时还有一些高级选项,如果需要内存分析,请选中Full Memory Dump。提交后,cuckoo就会开始自动分析,期间virtualbox会启动并运行程序。最终分析结果:
最上面就是cuckoo分析的类型,包括静态分析,行为分析,网络分析等。
0x02 结束语
本文主要介绍了cuckoo的基本特性和安装,配置方法。利用cuckoo能够快速的分析恶意程序的部分行为,提高对恶意程序分析的效率。后续文章会继续分析cuckoo的程序结构及模块开发。