Print

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

 

cuckoo analyse automatique de malwares

 

https://cuckoo.readthedocs.io/en/latest/installation/

 

Traduit de l'anglais-L’oeuf du coucou: traquer un espion dans le labyrinthe d’espionnage informatique est un livre de 1989, écrit par Clifford Stoll. C'est son récit à la première personne de la chasse à un pirate informatique qui a fait irruption dans un ordinateur du laboratoire national Lawrence Berkeley.
On l’installera dans un chroot, en faisant ainsi on l’isolera du reste du système (change root – changer la racine). Cuckoo sera lancé depuis un utilisateur aux droits limités dans ce chroot afin de limiter les risques pour le système hôte si un malware arrive à “s’échapper” de la machine virtuelle.

Si vous souhaitez installer cuckoo directement sur votre système vous pouvez simplement suivre la documentation.

Création du chroot
On installe les logiciels nécessaires et on crée le répertoire de notre chroot.

sudo apt-get install binutils debootstrap
sudo mkdir -p /srv/chroot/cuckoo_chroot
La commande debootstrap permet d’installer un système debian dans le

N’oubliez pas que l’analyse de malware peut être dangereuse, je vous conseille de prendre toutes les précautions qui s’imposent avant de commencer. Il est possible que certaines manipulations expliquées ici soient dangereuses.

L’installation sera effectuée sur une machine Debian “testing” sur une architecture amd64.
La commande debootstrap permet d’installer un système debian dans le sous-répertoire d’un autre système.
Veillez à choisir la même architecture que votre système.

sudo debootstrap --arch amd64 testing /srv/chroot/cuckoo_chroot http://http.debian.net/debian
Le chroot sera donc situé dans notre cas dans /srv/chroot/cuckoo_chroot.

L’installation se lance, cela peut prendre plusieurs minutes.

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

Pour plus d’information sur les chroot ou en cas de problème : https://wiki.debian.org/fr/Chroot

Entrons y :

sudo chroot /srv/chroot/cuckoo_chroot
Si tout va bien, quelque chose comme ça s’affiche :

root@debian:/#
Dans la suite de ce post, on va distinguer les commandes à taper sur le système principal de celles à entrer sur le chroot par un code de couleur (couleur des encadrés).

Sur le système principal
sudo chroot /srv/chroot/cuckoo_chroot
Installation de Cuckoo
Un certain nombre de dépendances sont nécessaires, il faut aussi que tcpdump puisse se lancer avec des droits de super-utilisateur (pour capturer le trafic).

apt-get install python python-sqlalchemy python-dpkt python-jinja2 python-magic python-pymongo python-libvirt python-bottle python-pefile tcpdump libcap2-bin
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
On crée un utilisateur,

adduser cuckoo
usermod -G vboxusers cuckoo
Il faut maintenant télécharger cuckoo : ici
On extrait le contenu du fichier cuckoo-current.tar.gz téléchargé dans notre chroot.

sudo tar xzfv cuckoo-current.tar.gz -C /srv/chroot/cuckoo_chroot/home/cuckoo/
Cuckoo est installé.
Attention aux droits, exécutez la commande suivante dans le dossier de l’utilisateur cuckoo pour qu’il soit propriétaire des fichiers (change the owner).

chown cuckoo * -R
Configuration de Virtualbox
xhost +
Cela vous permettra de lancer des applications graphiques depuis le chroot.

 

 

 

Une question? Posez-la ici

Aide pentest d'applications


En utilisant le compte que l’on a créé, on va pouvoir lancer virtualbox.

su cuckoo
virtualbox&
A vous maintenant de créer une machine virtuelle, j’ai choisi d’utiliser Windows XP SP3 (si vous avez déjà une machine virtuelle de créée, vous pouvez l’importer dans le chroot) mais libre à vous de prendre un autre système (Vista, 7, 8, …).

Sur la machine virtuelle, désactiver le pare-feu et les mises à jour automatiques. Puis installer python : http://www.python.org/getit/

Sur Virtualbox allez dans Machine -> Configuration -> Dossiers partagés -> Ajouter un dossier partagé. Ajouter le dossier /home/cuckoo/cuckoo/agent et cocher montage automatique.

Virtualbox création dossier partagé

Installation de Cuckoo
Un certain nombre de dépendances sont nécessaires, il faut aussi que tcpdump puisse se lancer avec des droits de super-utilisateur (pour capturer le trafic).

apt-get install python python-sqlalchemy python-dpkt python-jinja2 python-magic python-pymongo python-libvirt python-bottle python-pefile tcpdump libcap2-bin
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
On crée un utilisateur,

adduser cuckoo
usermod -G vboxusers cuckoo
Il faut maintenant télécharger cuckoo : ici
On extrait le contenu du fichier cuckoo-current.tar.gz téléchargé dans notre chroot.

sudo tar xzfv cuckoo-current.tar.gz -C /srv/chroot/cuckoo_chroot/home/cuckoo/
Cuckoo est installé.
Attention aux droits, exécutez la commande suivante dans le dossier de l’utilisateur cuckoo pour qu’il soit propriétaire des fichiers (change the owner).

 

 

  

Une question? Posez-la ici

Aide pentest d'applications

 

 

 

Renseigner le résultat dans le champ ci-dessous (Pour concaténation et rapport à la fin)

Analyser, se poser des questions sur le résultat. Noter aussi les remarques sur le résultats s'il semble étrange

et passer à la phase suivante