tài liệu trên nằm trong một đề quản lí an toàn thông tin do sinh viên trương ptit thực hiện, nội dung báo cáo là cài đặt, thử nghiệm phần mềm cuckoo sand bõ là một công cụ mạnh trong việc rà soát, kiểm thử điểm yếu các trang Wed
Trang 11. Giới Thiệu Về Cuckoo Sanbox
Cuckoo Sanbox là hệ thống phân tích tự động mã nguồn
mở tự động hàng đầu Bạn có thể ném bất kỳ tập tin đáng ngờ vào nó và trong vài phút Cuckoo sẽ cung cấp một báo cáo chi tiết phác hoạ hành vi của tập tin khi thực hiện bên trong một môi trường thực tế nhưng bị cô lập
Phân tích nhiều tệp tin độc hại khác nhau (tệp thi hành, tài liệu văn phòng, tệp pdf, email ) cũng như các trang web độc hại dưới Windows, Linux, Mac OS X và các môi trường
ảo hóa của Android
Các cuộc gọi API Trace và hành vi chung của tập tin và chưng cất những thông tin này ở mức độ cao và chữ ký có thể hiểu được bởi bất cứ ai
Loại bỏ và phân tích lưu lượng mạng, ngay cả khi được mã hóa bằng SSL / TLS Với hỗ trợ định tuyến mạng cục bộ để thả tất cả lưu lượng truy cập hoặc tuyến đường qua InetSIM, giao diện mạng hoặc VPN
Thực hiện phân tích bộ nhớ tiên tiến của hệ thống ảo hóa
bị nhiễm bệnh thông qua Sự biến động cũng như trong quá trình xử lý hạt bộ nhớ bằng cách sử dụng YARA
Do tính chất nguồn mở của Cuckoo và thiết kế modun mở rộng, chúng ta có thể tùy chỉnh bất kỳ khía cạnh nào của môi trường phân tích, xử lý kết quả phân tích và giai đoạn báo cáo Cuckoo cung cấp cho bạn tất cả các yêu cầu để dễ dàng tích hợp các sandbox vào khuôn khổ hiện tại của bạn
và phụ trợ theo cách bạn muốn, với định dạng mà bạn muốn, và tất cả những điều đó mà không có yêu cầu cấp phép
2. Tạo một người dùng
Bạn có thể chạy Cuckoo từ người dùng của riêng bạn hoặc tạo một Cuckoo mới chỉ dành cho thiết lập Đảm bảo rằng người dùng chạy Cuckoo là người dùng tương tự mà bạn sẽ
sử dụng để tạo và chạy các máy ảo (ít nhất là trong trường hợp của VirtualBox), nếu không Cuckoo sẽ không thể xác định và khởi chạy các Máy Ảo này
Trang 2Tạo một người dùng mới:
$ sudo adduser cuckoo
Nếu bạn đang sử dụng VirtualBox, hãy đảm bảo rằng
người dùng mới thuộc nhóm "vboxusers" (hoặc nhóm bạn
đã sử dụng để chạy VirtualBox):
$ sudo usermod -a -G vboxusers cuckoo
Nếu bạn đang sử dụng KVM hoặc bất kỳ modun dựa trên libvirt nào khác, hãy đảm bảo rằng người dùng mới thuộc nhóm "libvirtd" (hoặc nhóm phân phối Linux của bạn sử dụng để chạy libvirt):
$ sudo usermod -a -G libvirtd cuckoo
3. Tăng giới hạn tệp
Quá nhiều tệp mở có thể bạn muốn vượt qua giới hạn số lượng tệp tin trước khi bắt đầu Cuckoo vì nếu không một số mẫu sẽ không xử lý đúng báo cáo (do mở nhiều tệp hơn được cho phép bởi Hoạt động Hệ thống)
4. Cài đặt Cucuco
Cài đặt phiên bản mới nhất của Cuckoo chỉ đơn giản như sau
$ sudo pip cài đặt -U pip setuptools
$ sudo pip cài đặt -U cuckoo
Mặc dù ở trên, một cài đặt toàn cầu của Cuckoo trong hệ
điều hành của bạn hoạt động tốt, chúng tôi khuyên bạn nên cài đặt Cuckoo trong một virtualenv, có vẻ như sau:
Trang 3$ virtualenv venv
$ venv / bin / kích hoạt
(venv) $ pip cài đặt -U pip setuptools
(venv) $ pip cài đặt -U cuckoo
Một số lý do để sử dụng virtualenv:
• Các phụ thuộc của Cuckoo có thể không hoàn toàn được cập nhật, nhưng thay vào đó là một phiên bản được biết đến với công việc đúng
• Sự phụ thuộc của các phần mềm khác được cài đặt trên
hệ thống của bạn có thể xung đột với những yêu cầu của Cuckoo, do các yêu cầu về phiên bản không tương thích (và có, điều này cũng có thể xảy ra khi Cuckoo hỗ trợ phiên bản mới nhất, đơn giản bởi vì phần mềm khác có thể đã được ghim vào một phiên bản cũ hơn)
• Sử dụng virtualenv cho phép người dùng không phải root cài đặt gói bổ sung hoặc nâng cấp Cuckoo vào một thời điểm sau
5. Cài đặt Cuckoo từ tệp
Bằng cách tải xuống bản sao của Gói Cuckoo và cài
đặt ngoại tuyến , người ta có thể thiết lập Cuckoo bằng
cách sử dụng một bản sao lưu trong bộ nhớ cache hoặc có bản sao lưu các phiên bản Cuckoo hiện tại trong tương
lai Chúng tôi cũng có các tùy chọn để tải về như một
tarball trên trang web của chúng tôi
Có được Tarball của Cuckoovà tất cả các phụ thuộc của nó bằng tay có thể được thực hiện như sau:
$ pip download cuckoo
Bạn sẽ kết thúc với một tập tin Cuckoo-2.0.0.tar.gz(hoặc
một số cao hơn, tùy thuộc vào phiên bản mới nhất được phát hành ổn định) cũng như tất cả các phụ thuộc của nó
(ví dụ, alembic-0.8.8.tar.gz).
Trang 4Cài đặt phiên bản chính xác của Cuckoo có thể được thực hiện như bạn đã quen với việc cài đặt nó bằng cách sử
dụng piptrực tiếp, ngoại trừ bây giờ sử dụng tên tệp của
tarball:
$ pip cài đặt Cuckoo-2.0.0.tar.gz
Trên các hệ thống không có kết nối internet, lệnh này có thể được sử dụng để tìm nạp tất cả các phụ thuộc cần thiết
và vì lý do này nên cài đặt Cuckoo hoàn toàn ngoại tuyến bằng cách sử dụng các tệp đó, tức là bằng cách thực hiện
một cái gì đó như sau:$ pip download cuckoo
$ pip install * tar.gz
6. Cuckoo Working Directory
Tất cả các thành phần cấu hình, dữ liệu được tạo ra, và kết quả của Cuckoo sẽ được lưu trong thư mục này Những tệp này bao gồm nhưng không giới hạn ở những điều sau:
• Configuration
• Cuckoo Signatures
• Cuckoo Analyzer
• Cuckoo Agent
• Yara rules
• Cuckoo Storage (where analysis results go)
• And much more
7. Cấu hình
Nếu bạn đã từng cập nhật thiết lập Cukoo cho phiên bản mới hơn, bạn đã gặp phải vấn đề mà bạn phải thực hiện sao
Trang 5lưu cấu hình, cập nhật Cuckoo của bạn và khôi phục lại cấu hình hoặc áp dụng lại nó hoàn toàn
Với sự ra đời của CWDchúng tôi đã nhận được thoát khỏi
cơn ác mộng cập nhật này
Lần đầu tiên bạn chạy Cuckoomột CWDkiểm tra sẽ được
tạo cho bạn tự động, điều này khá nhiều diễn ra như sau:
Như đã chỉ ra bởi các thông điệp thông tin bây giờ bạn sẽ
có thể tìm thấy bạn CWD tại /home/cuckoo/.cuckoovì nó mặc định ~/.cuckoo Tất cả các tập tin cấu hình như bạn biết chúng có thể được tìm thấy trong $CWD/confthư
mục Ví
dụ$CWD/conf/cuckoo.conf, $CWD/conf/virtualbox.confvv
Trang 6Bây giờ bởi vì CWDthư mục không phải là một phần của Cuckoo chính nó, đó là, kho Git hoặc là một phần của một trong những phiên bản mới nhất, một trong những sẽ có thể nâng cấp Cuckoo mà không cần phải chạm
vào CWD (Tất nhiên nếu một bản cập nhật được cài đặt yêu cầu Cấu hình được cập nhật thì Cuckoo sẽ hướng dẫn người dùng thông qua nó - thay vì ghi đè lên các tệp Cấu hình chính nó)
8. Đường dẫn CWD
Mặc dù CWDmặc định đối với ~/.cuckoođường dẫn này hoàn toàn có thể được cấu hình Sau đây liệt kê thứ tự ưu tiên cho Cuckoo để xác định CWD
• Thông qua cwdtùy chọn dòng lệnh (ví dụ,
). cwd ~/.cuckoo
• Thông qua CUCKOObiến môi trường (ví
dụ, ).export CUCKOO=~/.cuckoo
• Thông qua CUCKOO_CWDbiến môi trường
• Nếu thư mục hiện tại là một CWD(ví dụ, giả sử rằng
một đã được tạo ra trong thư mục đó).cd ~/.cuckooCWD
• Mặc định ~/.cuckoo,
Bằng cách sử dụng các CWDđường dẫn thay thế , có thể chạy nhiều trường hợp Cuckoo với các cấu hình khác nhau bằng cách sử dụng cùng một thiết lập Nếu vì một lý do nào
đó, người ta đòi hỏi phải có hai hoặc ba thiết lập riêng cho cuckoo, ví dụ như trong trường hợp bạn muốn chạy phân tích Windows và phân tích Android song song, sau đó không phải nâng cấp từng trường hợp một lần mỗi khi cập nhật chắc chắn là một bước tiến lớn
Trang 7Ví dụ để hiển thị cách cấu hình CWD.