1. 介紹
1.1應用
在工作中很多時候需要自己對一些可以程序,可執行文件進行檢測,當然我們可以通過VT,微步,等一些開源的平台進行檢測。現在我們通過自己搭建的開源的沙箱進行檢測。所謂沙箱,是分離運行程序的一種安全機制。他通常用於執行未經測試的代碼,或來自第三方、供應商、不可信網站等的不可信程序。我們可以通過沙箱在一個隔離的環境運行,不可信程序,並且獲取他做的信息。
惡意軟件分析一般分為兩種:靜態分析和動態分析。沙箱是動態分析的應用,它不靜態分析二進制文件,實時執行並且監控惡意軟件。這可以幫助安全分析人員獲取不可信軟件的細節,比如網絡行為等,靜態和動態分析不可信程序。生成的結果可以更快幫助我們對惡意軟件進行分析。
1.2 關於Cuckoo
Cuckoo是一個開源的自動惡意軟件分析系統,我們可以用它來自動運行和分析文件,並可以獲取到全面的分析結果,
Cuckoo 可以獲取以下類型結果:
1.追蹤由惡意軟件產生的所有進程執行的調用
2.惡意軟件在執行中增刪改查情況
3.惡意軟件進程的內存輸出
4.PCAP包格式的網絡流量跟蹤
5.在執行軟件關鍵截圖
6.機器全部內存輸出
1.3 Cuckoo模塊和可分析樣本類型:
• Generic Windows executables
• DLL files
• PDF documents
• Microsoft Office documents
• URLs and HTML files
• PHP scripts
• CPL files
• Visual Basic (VB) scripts
• ZIP files
• Java JAR
• Python files
• Almost anything else
1.4 體系結構
Cuckoo沙箱是由一個中心管理軟件組成,處理樣本執行和分析。每一個分析都在一個獨立的虛擬或者物理機器中啟動,Cuckoo主要組件時主機(用於管理軟件)和一些客戶機(虛擬機或者物理機進行分析)。
在主機中運行沙箱的核心組件,管理分析過程,客戶機是隔離環境,惡意樣本在其中隔離分析。Cockoo架構如下:
2.部署
本篇采取docker 的部署方案(有時間下一篇用幾台雲主機測試)
2.1 依賴環境
• blacktop/yara:3.7
• blacktop/volatility:2.6
• Docker
• Docker-compose
• Ubuntu 16 STL 雲主機
2.2 在Ubuntu16 TSL 雲主機
安裝 Homebrew
開始安裝
git clone https://github.com/blacktop/docker-cuckoo cd docker-cuckoo docker-compose up -d For docker-machine curl $(docker-machine ip):8000/cuckoo/status For Docker for Mac curl localhost:8000/cuckoo/status
2.3 開始進入
瀏覽器中輸入 http://ip
3. 使用介紹
3.1安裝沙箱后,我們應該問自己要達到什么樣的目標:
1.這是什么樣的文件
2.希望處理多少分析
3.結合那些平台進行分析,各個分析平台各有優勢,結合起來更加全面准確
4.對於本文件,預期要得到什么樣的信息
4.使用
5.參考
https://github.com/cuckoosandbox/cuckoo
https://github.com/blacktop/docker-cuckoo#dependencies