CAPE沙盒安装从0到英雄

  • A+
所属分类:神兵利刃

CAPE沙盒安装从0到英雄

法里德·福齐 发表

介绍

注意:正如 CAPE 开发人员所述,CAPE 强烈建议不要使用 VirtualBox,因为它非常容易被恶意软件检测到,按照自述文件中的建议使用 KVM 以获得惊人的性能和反*。请参阅步骤 4。

根据 GitHub 中的存储库描述,CAPE 是一个恶意软件沙箱。它源自 Cuckoo,旨在自动化恶意软件分析过程,以从恶意软件中提取有效负载和配置。

这篇博文的目的是为初学者提供有关 CAPE 沙箱安装和配置的分步教程。

第1步:安装Ubuntu

下载并安装 Ubuntu 20.04 LTS

您可以将 Ubuntu 安装在物理服务器或虚拟机中。

如果您使用虚拟机软件,请不要忘记为 VMware 启用“虚拟化 Intel VT-x/EPT 或 AMD-V/RVI”,或为 VirtualBox 启用“启用 VT-x/AMD-V”。请参阅下面的图 1 和图 2。进行此设置的原因是我们将在我们的环境中创建一个嵌套虚拟机。

CAPE沙盒安装从0到英雄

图 1:VMWare 设置

CAPE沙盒安装从0到英雄

图 2:VirtualBox 设置

第 2 步:安装要求

安装 python 和 python3-pip

 

$ sudo apt update
$ sudo apt install python3 -y
$ sudo apt install python3-pip -y

安装最新版本的pillow

 

pip3 install Pillow==8.0.1

然后下载并运行基本脚本。该脚本将为我们安装所有库和服务。

 

 

$ wget  https://raw.githubusercontent.com/doomedraven/Tools/master/Sandbox/cape2.sh
$ chmod a+x cape2.sh
$ sudo ./cape2.sh base cape

CAPE沙盒安装从0到英雄

图3:cape.sh运行

安装MongoDB

 

 

$ sudo apt install -y mongodb

第三步:了解配置文件

在开始之前,我们需要了解并了解CAPE的重要配置文件的功能。

请阅读 有关配置文件的文档。

CAPE沙盒安装从0到英雄

图4:配置文档

步骤 4.a:让访客做好准备(手动方式)

我已经为客人准备了ova文件。安装步骤将在下一节 4.b 中解释

使用 VirtualBox(选项 1)

在这一部分中,我们需要在虚拟机中设置 Windows 7 ISO。在我们的例子中,我们将使用 Virtual Box 作为我们的虚拟化软件。在 sudo 用户中运行 VirtualBox。

 

 

$ sudo apt update
$ sudo apt install virtualbox virtualbox-ext-pack -y
$ sudo virtualbox

安装Windows 7

创建虚拟机

CAPE沙盒安装从0到英雄

图 5:创建虚拟机

下载任何 Windows 7 ISO 并在 VirtualBox 中安装 Windows。

CAPE沙盒安装从0到英雄

图 6:安装 Windows 7

使用 KVM(选项 2)

$ sudo apt update -y
$ sudo apt install qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils -y
$ sudo adduser ‘username’ libvirt
$ sudo adduser ‘username’ kvm
$ sudo systemctl enable --now libvirtd
$ sudo apt install virt-manager -y
$ sudo virt-manager

安装Python

在 Windows 7 虚拟机中安装 Python 3.6。在这里下载。不要忘记将 Python 包含在 PATH 中。

安装枕头

接下来,打开 cmd 并使用命令pip install Pillow==7.0安装 Pillow 。这 用于在分析过程中截取 Windows 桌面的屏幕截图。

 

CAPE沙盒安装从0到英雄

图 7:安装枕头

安装附加软件

我们可能需要安装额外的软件,例如浏览器、PDF 阅读器、办公套件等,以获得完整的功能。请记住禁用任何其他软件的“自动更新”或“检查更新”功能。

在这里我们将安装:

1. Adob​​e Reader

2.火狐浏览器

3.Office 2007

禁用UAC

进入控制面板并在搜索框中输入 UAC,或者从开始菜单执行此操作。然后将滑块向下拖动到底部。

CAPE沙盒安装从0到英雄

图 8:使用 GUI 禁用 UAC

禁用防火墙

CAPE沙盒安装从0到英雄

图 9:禁用 Windows 7 防火墙

禁用 Windows 自动更新

CAPE沙盒安装从0到英雄

图 10:禁用 Windows 7 自动更新

网络配置

将虚拟机设置为仅主机适配器并选择 vboxnet0。

CAPE沙盒安装从0到英雄

图 11:设置为仅主机

如果 vboxnet0 不可用,请在文件 > 主机网络管理器中创建网络。

CAPE沙盒安装从0到英雄

图 12:创建 VM 网络

 

配置网络如下:

- IP地址:192.168.56.101

- 子网掩码:255.255.255.0

- 默认网关:192.168.56.1

- 首选DNS服务器:8.8.8.8

- 备用DNS服务器:8.8.4.4

CAPE沙盒安装从0到英雄

图 13:配置 IP 地址

确保来宾(Win7)和主机(Ubuntu)可以互相 ping 通。

CAPE沙盒安装从0到英雄

图 14:主机 ping 访客

CAPE沙盒安装从0到英雄

图 15:访客 ping 主机

禁用嘈杂的网络服务

1. 特雷多

以管理员身份打开命令提示符,然后运行:

 

 

netsh interface teredo set state disabled

2. 链路本地多播名称解析 (LLMNR)

打开组策略编辑器。然后导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后打开关闭多播名称解析。

将策略设置为启用。

CAPE沙盒安装从0到英雄

图 16:关闭 MNR

3. 网络连接状态指示、错误报告等

打开组策略。然后导航到计算机配置 > 管理模板 > 系统 > Internet 通信管理,然后打开限制 Internet 通信。

将策略设置为启用。

CAPE沙盒安装从0到英雄

图 17:启用限制互联网通信

安装并运行代理

在此处下载代理 。将文件复制到 Win7 虚拟机中。

运行(双击)agent.py 将启动 HTTP 服务器,该服务器将侦听连接。

如果您希望脚本在 Windows 启动时启动,只需将该文件放在 Startup 文件夹中即可。所有用户启动文件夹应为C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup。

 

 

拍摄虚拟机快照

启动agent.py并将其最小化后,创建一个名为“Snapshot1”的快照。

CAPE沙盒安装从0到英雄

图 18:拍摄快照

 

步骤 4.b:使用预构建的 VM 准备来宾

在此处下载 OVA 文件。这个bz2压缩文件包含Win10和Win7。

提取文件后,在 Ubuntu 中使用 vboxmanage 命令导入 OVA 文件。

 

 

vboxmanage import Win10.ovavboxmanage import Win7.ova  

如果 vboxnet0 不可用,请在文件 > 主机网络管理器中创建网络。

打开盒子,运行 User Downloads 文件夹中的 agent.py。

创建快照。将快照重命名为“snapshot1”。该名称将在下一节中解释的配置中使用。

布谷鸟配置

不要忘记阅读配置文档以了解配置,因为您的配置可能与我的配置不同。 /opt/CAPEv2/conf 中需要配置的重要文件:

  • 布谷鸟配置文件

CAPE沙盒安装从0到英雄

图 19:将“kvm”更改为“virtualbox”

CAPE沙盒安装从0到英雄

图 20:将 IP 更改为 vboxnet0 接口的 IP

 

CAPE沙盒安装从0到英雄

图 21:将 5000 更改为 0

 

  • 辅助配置文件
    • 根据自己的需求配置
  • 虚拟机配置文件
    • 更改标签、ip、快照名称

CAPE沙盒安装从0到英雄

图22:更改VM分析名称(win7)

  • 内存配置文件

CAPE沙盒安装从0到英雄

图 23:更改我们的分析 VM 名称

  • 报告.conf
    • 根据自己的需求配置
  • 网络配置文件

CAPE沙盒安装从0到英雄

图 24:启用评分

运行 Cuckoo 和 Web 服务器

 

$ cd /opt/CAPEv2/utils
$ sudo python3 community.py -cr
$ sudo pip3 install -U git+https://github.com/CAPESandbox/httpreplay
$ cd /opt/CAPEv2/
$ sudo python3 cuckoo.py

对于 Web,在新选项卡中运行以下命令:

 

 

$ cd /opt/CAPEv2/web
$ sudo python3 manage.py migrate
$ sudo python3 manage.py runserver 0.0.0.0:8080

提交

在互联网上下载任何恶意软件样本,我们就可以开始使用仪表板提交样本。

CAPE沙盒安装从0到英雄

图 25:CAPE 分析我们的 WannaCry 样本

CAPE沙盒安装从0到英雄

图 26:WannaCry 感染了我们的虚拟机分析

 

CAPE沙盒安装从0到英雄

图 27:分析完成

解决错误

如果您的 Linux 找不到 ResultServer,如下图所示:

CAPE沙盒安装从0到英雄

图 28:CuckooCriticalError

  1. 打开虚拟盒子
  2. 运行分析虚拟机
  3. 关闭虚拟机并使其恢复到最后一个快照
  4. 运行 Cape 脚本“sudo python3 cuckoo.py”

 

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin