開源沙箱CuckooSandbox 介紹與部署

1. 介紹

1.1應用
  在工做中不少時候須要本身對一些能夠程序，可執行文件進行檢測，固然咱們能夠經過VT，微步，等一些開源的平臺進行檢測。如今咱們經過本身搭建的開源的沙箱進行檢測。所謂沙箱，是分離運行程序的一種安全機制。他一般用於執行未經測試的代碼，或來自第三方、供應商、不可信網站等的不可信程序。咱們能夠經過沙箱在一個隔離的環境運行，不可信程序，而且獲取他作的信息。
  惡意軟件分析通常分爲兩種:靜態分析和動態分析。沙箱是動態分析的應用，它不靜態分析二進制文件，實時執行而且監控惡意軟件。這能夠幫助安全分析人員獲取不可信軟件的細節，好比網絡行爲等，靜態和動態分析不可信程序。生成的結果能夠更快幫助咱們對惡意軟件進行分析。
1.2 關於Cuckoo
  Cuckoo是一個開源的自動惡意軟件分析系統,咱們能夠用它來自動運行和分析文件，並能夠獲取到全面的分析結果，
  Cuckoo 能夠獲取如下類型結果:
    1.追蹤由惡意軟件產生的全部進程執行的調用
    2.惡意軟件在執行中增刪改查狀況
    3.惡意軟件進程的內存輸出
    4.PCAP包格式的網絡流量跟蹤
    5.在執行軟件關鍵截圖
    6.機器所有內存輸出

1.3 Cuckoo模塊和可分析樣本類型:
    • Generic Windows executables
    • DLL files
    • PDF documents
    • Microsoft Office documents
    • URLs and HTML files
    • PHP scripts
    • CPL files
    • Visual Basic (VB) scripts
    • ZIP files
    • Java JAR
    • Python files
    • Almost anything else

1.4 體系結構 

  Cuckoo沙箱是由一箇中心管理軟件組成，處理樣本執行和分析。每個分析都在一個獨立的虛擬或者物理機器中啓動，Cuckoo主要組件時主機（用於管理軟件）和一些客戶機（虛擬機或者物理機進行分析）。

  在主機中運行沙箱的核心組件，管理分析過程，客戶機是隔離環境，惡意樣本在其中隔離分析。Cockoo架構以下：

 

2.部署

本篇採起docker 的部署方案（有時間下一篇用幾臺雲主機測試）

2.1 依賴環境

  • blacktop/yara:3.7
  • blacktop/volatility:2.6
  • Docker
  • Docker-compose
  • Ubuntu 16 STL 雲主機

 

2.2 在Ubuntu16 TSL 雲主機
安裝 Homebrew

開始安裝

git clone https://github.com/blacktop/docker-cuckoo
cd docker-cuckoo
docker-compose up -d
For docker-machine
curl $(docker-machine ip):8000/cuckoo/status
For Docker for Mac
curl localhost:8000/cuckoo/status

2.3 開始進入
  瀏覽器中輸入 http://ip

3. 使用介紹
  3.1安裝沙箱後，咱們應該問本身要達到什麼樣的目標：
    1.這是什麼樣的文件
    2.但願處理多少分析
    3.結合那些平臺進行分析，各個分析平臺各有優點，結合起來更加全面準確
    4.對於本文件，預期要獲得什麼樣的信息

4.使用

5.參考

https://github.com/cuckoosandbox/cuckoo

https://cuckoo.sh/docs/

https://github.com/blacktop/docker-cuckoo#dependencies

https://cuckoo.sh/docs/installation/host/

https://cuckoo.sh/docs/installation/index.html