来源:https://notes.netbytesec.com/2020/12/cape-sandbox-installation-from-0-to-hero.html
此过程中有bug,后续更新bug解决方案。
一、介绍
根据它在GitHub上的存储库描述,CAPE是一个恶意软件沙箱。它来源于Cuckoo,设计用于自动处理恶意软件分析过程,从恶意软件中提取有效载荷和配置。
这篇博文的目标是为初学者提供安装和配置CAPE sandbox的逐步教程。
步骤1:安装Ubuntu
下载并安装Ubuntu 20.04 LTS
您可以在物理服务器或虚拟机中安装Ubuntu。
如果您使用的是虚拟机软件,不要忘记在VMware上启用“虚拟化Intel VT-x/EPT或AMD-V/RVI”,在VirtualBox上启用“启用VT-x/AMD-V”。请参阅下面的图1和图2。设置此设置的原因是,我们将在我们的环境中创建一个嵌套VM。
图1:VMWare设置
图2:VirtualBox设置
步骤2:安装要求
安装python和python3-pip
$ sudo apt update
$ sudo apt install python3 -y
$ sudo apt install python3-pip -y
# 补充
# essential
sudo apt install -y git make automake vim
# These are required for commonly used utilities and modules.
sudo apt install -y python-dpkt python-jinja2 python-magic python-pymongo python-libvirt python-bottle python-pefile python-chardet swig libssl-dev clamav-daemon python-geoip geoip-database mono-utils
# for MongoDB
sudo apt install -y mongodb
# for Virtualenv
sudo apt install -y python python-pip python-setuptools python-virtualenv virtualenv
# for tcpdump
sudo apt install -y apparmor-utils
sudo aa-disable /usr/sbin/tcpdump
# for users who are not root (in this case, user name is "infected")
sudo usermod -a -G vboxusers infected
sudo groupadd pcap
sudo usermod -a -G pcap infected
sudo chgrp pcap /usr/sbin/tcpdump
sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
# for VirtualBox
sudo apt install -y virtualbox
sudo vboxmanage hostonlyif create
sudo vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1 --netmask 255.255.255.0
# 补充
安装最新版本的pillow
$ pip3 install Pillow==8.0.1
然后下载并运行基本脚本。这个脚本将为我们安装所有的库和服务。
$ wget https://raw.githubusercontent.com/doomedraven/Tools/master/Sandbox/cape2.sh
$ chmod a+x cape2.sh
$ sudo ./cape2.sh base cape
图3:cape.sh正在运行
安装MongoDB
$ sudo apt install -y mongodb
步骤3:了解配置文件
在我们开始之前,我们需要了解和理解CAPE的重要配置文件的功能。
配置文件请参考本文档。
图4:配置文档
第四步:为guest做好准备
VirtualBox安装
在这一部分中,我们将需要在虚拟机中设置Windows 7 ISO。在我们的例子中,我们将使用Virtual Box作为我们的虚拟化软件。在sudo用户下运行VirtualBox。
$ sudo apt update
$ sudo apt install virtualbox virtualbox-ext-pack -y
$ sudo virtualbox
安装Windows 7
创建虚拟机
图5:创建VM
下载任何Windows 7的ISO并安装到VirtualBox中。
图6:安装Windows 7
安装Python
在Windows 7操作系统中安装Python 3.6。下载在这里。不要忘记在PATH中包含Python。
安装 Pillow
接下来,打开cmd,使用命令pip install Pillow==7.0安装Pillow。这用于在分析过程中对Windows桌面进行截屏。
图7:Pillow安装
安装额外的软件
我们可能需要安装其他软件,如浏览器、PDF阅读器、办公套件等,以获得完整的功能特性。记住要禁用任何附加软件的“自动更新”或“检查更新”功能。
这里我们将安装:
1. Adobe Reader
2. 火狐
3.Office 2007
禁用UAC
进入控制面板,在搜索框中输入UAC,或者从开始菜单中输入。然后拖动滑块到底部。
图8:使用GUI禁用UAC
禁用防火墙
图9:禁用Windows 7防火墙
禁用Windows自动更新
图10:禁用Windows 7自动更新
网络配置
虚拟机选择“主机专用适配器”,选择“vboxnet0”。
图11:设置为仅限主机
如果没有vboxnet0,请在文件>主机网络管理器上创建一个网络。
图12:创建一个VM网络
配置网络如下:
—IP地址:192.168.56.101
—子网掩码:255.255.255.0
—默认网关:192.168.56.1
—首选DNS服务器:8.8.8.8
—备用DNS服务器:8.8.4.4
图13:配置IP地址
确保客户端(Win7)和主机(Ubuntu)能够相互ping通。
图14:主机ping客户端
图15:客户端ping主机
关闭有噪音的网络服务
1. Teredo
以管理员身份打开命令提示符,运行:
netsh interface teredo set state disabled
2. 链路本地组播名称解析(LLMNR)
打开组策略编辑器。然后导航到计算机配置>管理模板>网络> DNS客户端,并打开关闭多播名称解析。
设置策略为“启用”。
图16:关闭MNR
3.网络连接状态指示灯、错误报告等
打开组策略。然后导航到计算机配置>管理模板>系统> Internet通信管理,并打开限制Internet通信。
设置策略为“启用”。
图17:启用限制Internet通信
安装并运行代理
在这里下载代理(https://raw.githubusercontent.com/kevoreilly/CAPEv2/master/agent/agent.py)。将文件复制到Win7虚拟机中。
运行(双击)agent.py将启动侦听连接的HTTP服务器。
如果你想要脚本在Windows启动时启动,只需将文件放在启动文件夹中。所有用户启动文件夹应该是C: ProgramData\Microsoft\Windows\Start Menu\Programs\ startup。
把虚拟机快照
启动agent.py并最小化它之后,创建一个名为“Snapshot1”的快照。
图18:获取快照
Cuckoo 配置
/opt/CAPEv2/conf下需要配置的重要文件:
cuckoo.conf
图19:将“kvm”更改为“virtualbox
图20:将IP更改为vboxnet0接口的IP
图21:将5000更改为0
auxiliary.conf
根据您自己的需求进行配置
virtualbox.conf
图22:更改为VM分析名称(win7)
memory.conf
图23:更改为我们的analysis VM名称
reporting.conf
根据您自己的需求进行配置
web.conf
图24:启用评分
运行Cuckoo和Webserver
运行Cuckoo
$ cd /opt/CAPEv2/utils
$ sudo python3 community.py -cr
$ sudo pip3 install -U git+https://github.com/CAPESandbox/httpreplay
$ cd /opt/CAPEv2/
$ sudo python3 cuckoo.py
对于web,在一个新的选项卡中,运行以下命令:
$ cd /opt/CAPEv2/web
$ sudo python3 manage.py migrate
$ sudo python3 manage.py runserver 0.0.0.0:8080
提交
下载任何恶意软件样本在互联网上,我们可以开始提交样本使用仪表板。
图25:CAPE分析我们的WannaCry样本
图26:WannaCry病毒感染了我们的VM分析
图27:分析完成
解决错误
如果你的Linux系统无法找到如下图所示的ResultServer:
图28:CuckooCriticalError
1、打开VirtualBox
2、运行analysis VM
3、关闭VM,并使其恢复到其上一个快照
4、运行cape脚本“sudo python3 cuckoo3 .py”
网友评论