部署恶意文件自动化分析系统——Cuckoo

Cuckoo：

---

Cuckoo sandbox是一个开源的恶意文件自动化分析系统，采用Python和C/C++开发，跨越Windows、Android、Linux和Darwin四种操作系统平台，支持二进制的PE文件（exe、dll、com）、PDF文档、Office文档、URL、HTML文件、各种脚本（PHP、VB、Python）、JAR包、Zip文件等等几乎所有的文件格式，能分析恶意文件的静态二进制数据和动态运行后的进程、网络、文件等行为，对于恶意文件的初步分析定性具有很大帮助。

Cuckoo的分析结果包含如下内容：

（1）函数以及API调用的Call Trace；
（2）应用拷贝和删除的文件；
（3）选定进程的内存镜像；
（4）分析机的full memory dump；
（5）恶意软件执行时的截屏；
（6）分析机产生的网络流量。

agent伪装环境建议：

(1)安装基础的运行库，如java、python、.net等；
(2)安装2005-2015的vc运行库；
(3)安装MS-Office套件(office 2007/office 2010)、PDF阅读器等文档软件 （Adobe Reader）；
(4)安装生活常用的聊天(QQ/微信)、听歌（QQ音乐/酷狗/酷我）软件。

Tips：

---

• pip版本过低：

解决方案：

curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.py 
python2 get-pip.py

• 普通用户权限无法运行：

报错信息：In order to use the Cuckoo Web Interface it is required to have MongoDB up-and-running and enabled in Cuckoo. Please refer to our official documentation as well as the $CWD/conf/reporting.conf file

解决方案：用 virtualenv 来重新安装cuckoo

su
virtualenv venv
. venv/bin/activate
(venv)$ pip install -U pip setuptools
(venv)$ pip install -U cuckoo

• 设置iptables持久化：

ubuntu重启后iptables就重置了，需要设置持久化

sudo apt-get install iptables-persistent
iptables -A FORWARD -o ens32 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
sudo netfilter-persistent save

• Cuckoo 分析一直卡在pending：

1. 可能是Cuckoo 本身没有运行
2. 可能是Cuckoo在运行，但正在读取不同的 CWD（Cuckoo 工作目录）

解决方案：（按顺序执行）

cuckoo --cwd /home/tester/.cuckoo/ -d --ignore-vuln
cuckoo --cwd /home/tester/.cuckoo/ --debug web -H 0.0.0.0 -p 8080

• Web页面报错：无法停止辅助模块：Sniffer

控制台具体报错信息：
CuckooOperationalError: Error running tcpdump to sniff the network traffic during the analysis; stdout = '' and stderr = 'dropped privs to root\ntcpdump: /home/tester/.cuckoo/storage/analyses/7/dump.pcap: Permission denied\n'. Did you enable the extra capabilities to allow running tcpdump as non-root user and disable AppArmor properly (the latter only applies to Ubuntu-based distributions with AppArmor, see also https://cuckoo.sh/docs/faq/index.html#permission-denied-for-tcpdump)

解决方案：

sudo apt-get install apparmor-utils
sudo aa-disable /usr/sbin/tcpdump

恶意样本测试：

---

提交方式可以通过命令行和 web 进行提交：

sudo cuckoo submit ceshi.exe

分析结果：

参考如下：

---

十分钟学会恶意样本分析，一眼看透无所遁形
kali Linux2021 中安装cuckoo沙箱系统 - 知乎
Cuckoo SandBox的安装、配置和应用 - Thresh｜ - 博客园
Cuckoo安装过程（初学者）_青之羽的博客-CSDN博客_cuckoo安装
cuckoo环境搭建及恶意分析_哔哩哔哩_bilibili
Cuckoo Sandbox Book — Cuckoo Sandbox v2.0.7 Book
利用Python开源工具部署自己的恶意代码自动化（一）
Debian/Ubuntu 上 iptables 防火墙规则持久化
https://github.com/cuckoosandbox/cuckoo/issues/2572
https://github.com/cuckoosandbox/cuckoo/issues/2918