사실 가장 귀찮은 부분이 #1인 설치인 것 같습니다..
#2에서는 간단하게, 웹 ui를 사용하는 방법과 sample(그냥 의미없는 파일) 분석 돌린 결과나 볼까 합니다.
1. cuckoo sandbox web ui
cuckoo는 기본적으로 콘솔모드와 웹 UI 둘 다 지원합니다.
콘솔이 편하긴 하지만 개인적으로 분석된 보고서(웹스캐너나, 악성코드 스캔 데이터 등)는 웹이 훨씬 편합니다.
웹 ui 사용은 간단합니다.
cuckoo가 설치된 디렉토리 하단에 util 디렉토리가 있습니다.거기서 web.py를 편집하고 실행하여 웹 ui 구성이 가능합니다.
기본적으로 8080 포트로 지원하지만, 다른 툴에서 사용한다면 변경해서 사용이 필요합니다.
(대다수 툴이 8080을 굉장히 좋아하는 듯 합니다.. 저 또한)
# vim cuckoo/util/web.py
열어보시면 간단한 파이썬 웹 서버 코드입니다.
아래 290번대 줄 보시면 run 함수 부분에 인자값으로 받은 port 데이터를 port에 넣어 실행하는 것 같아 보입니다.
290 if __name__ == "__main__":
291 parser = argparse.ArgumentParser()
292 parser.add_argument("-H", "--host", help="Host to bind the web server on", default="0.0.0.0", action="store", required=False)
293 parser.add_argument("-p", "--port", help="Port to bind the web server on", default=8080, action="store", required=False)
294 args = parser.parse_args()
295
296 run(host=args.host, port=args.port, reloader=True)
인자값에서 포트를 제어해도 되고 아니면 코드상에서 강제로 포트정보 삽입하여 사용하시면 됩니다.
아무튼 cuckoo 가 실행된 후 web.py 를 실행하면 실행 pc에 8080포트로 웹 서버가 올라갑니다.
접근 시 아래와 같이 cuckoo sandbox의 웹 ui 가 나타납니다.
2. 샘플 분석 결과(fiddlerInstaller.exe)
어떤 파일을 올릴까 하다가 pc 안에 있던 fiddler 설치 파일을 올렸습니다.
분석 시작 후 vm이 호출되면서 실행되는 과정이 나타나네요.
cuckoo 를 실행한 터미널에서도 여러 로그가 나타나며 분석이 완료 됬다는 메시지가 발생합니다.
웹 ui 에서 클릭하여 리포트 결과를 확인했습니다.
인트톨 파일이여서 굉장히 데이터가 컸습니다.
(특히 스크린샷)
이번 섹션은 #1에서 진행 후 남은 데이터를 쓰기 위한 결과물 같네요.
#3에서는 실제 악성코드 샘플 및 간단하게 샘플하나 만들어서 확인해보고 포스팅하겠습니다.
감사합니다.
#1 Cuckoo SandBox 설치하기 (Install Cuckoo SandBox on debian linux)
http://www.hahwul.com/2015/03/cuckoo-1-cuckoo-sandbox-install-cuckoo.html
#2 Cuckoo SandBox의 web ui 및 샘플 실행파일 분석(web ui & sample analysis)
http://www.codeblack.net/2015/03/cuckoo-2-cuckoo-sandbox-web-ui-web-ui.html
 |
HAHWULSecurity engineer, Gopher and H4cker!
 |
0 개의 댓글:
Post a Comment