- A+
法里德·福齐 发表
介绍
注意:正如 CAPE 开发人员所述,CAPE 强烈建议不要使用 VirtualBox,因为它非常容易被恶意软件检测到,按照自述文件中的建议使用 KVM 以获得惊人的性能和反*。请参阅步骤 4。
根据 GitHub 中的存储库描述,CAPE 是一个恶意软件沙箱。它源自 Cuckoo,旨在自动化恶意软件分析过程,以从恶意软件中提取有效负载和配置。
这篇博文的目的是为初学者提供有关 CAPE 沙箱安装和配置的分步教程。
第1步:安装Ubuntu
下载并安装 Ubuntu 20.04 LTS
您可以将 Ubuntu 安装在物理服务器或虚拟机中。
如果您使用虚拟机软件,请不要忘记为 VMware 启用“虚拟化 Intel VT-x/EPT 或 AMD-V/RVI”,或为 VirtualBox 启用“启用 VT-x/AMD-V”。请参阅下面的图 1 和图 2。进行此设置的原因是我们将在我们的环境中创建一个嵌套虚拟机。
图 1:VMWare 设置
图 2:VirtualBox 设置
第 2 步:安装要求
安装 python 和 python3-pip
$ sudo apt update
$ sudo apt install python3 -y
$ sudo apt install python3-pip -y安装最新版本的pillow
pip3 install Pillow==8.0.1然后下载并运行基本脚本。该脚本将为我们安装所有库和服务。
$ wget https://raw.githubusercontent.com/doomedraven/Tools/master/Sandbox/cape2.sh
$ chmod a+x cape2.sh
$ sudo ./cape2.sh base cape
图3:cape.sh运行
安装MongoDB
$ sudo apt install -y mongodb第三步:了解配置文件
在开始之前,我们需要了解并了解CAPE的重要配置文件的功能。
请阅读 有关配置文件的文档。
图4:配置文档
步骤 4.a:让访客做好准备(手动方式)
我已经为客人准备了ova文件。安装步骤将在下一节 4.b 中解释
使用 VirtualBox(选项 1)
在这一部分中,我们需要在虚拟机中设置 Windows 7 ISO。在我们的例子中,我们将使用 Virtual Box 作为我们的虚拟化软件。在 sudo 用户中运行 VirtualBox。
$ sudo apt update
$ sudo apt install virtualbox virtualbox-ext-pack -y
$ sudo virtualbox安装Windows 7
创建虚拟机
图 5:创建虚拟机
下载任何 Windows 7 ISO 并在 VirtualBox 中安装 Windows。
图 6:安装 Windows 7
使用 KVM(选项 2)
$ sudo apt update -y
$ sudo apt install qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils -y
$ sudo adduser ‘username’ libvirt
$ sudo adduser ‘username’ kvm
$ sudo systemctl enable --now libvirtd
$ sudo apt install virt-manager -y
$ sudo virt-manager安装Python
在 Windows 7 虚拟机中安装 Python 3.6。在这里下载。不要忘记将 Python 包含在 PATH 中。
安装枕头
接下来,打开 cmd 并使用命令pip install Pillow==7.0安装 Pillow 。这 用于在分析过程中截取 Windows 桌面的屏幕截图。
图 7:安装枕头
安装附加软件
我们可能需要安装额外的软件,例如浏览器、PDF 阅读器、办公套件等,以获得完整的功能。请记住禁用任何其他软件的“自动更新”或“检查更新”功能。
在这里我们将安装:
1. Adobe Reader
2.火狐浏览器
3.Office 2007
禁用UAC
进入控制面板并在搜索框中输入 UAC,或者从开始菜单执行此操作。然后将滑块向下拖动到底部。
图 8:使用 GUI 禁用 UAC
禁用防火墙
图 9:禁用 Windows 7 防火墙
禁用 Windows 自动更新
图 10:禁用 Windows 7 自动更新
网络配置
将虚拟机设置为仅主机适配器并选择 vboxnet0。
图 11:设置为仅主机
如果 vboxnet0 不可用,请在文件 > 主机网络管理器中创建网络。
图 12:创建 VM 网络
配置网络如下:
- IP地址:192.168.56.101
- 子网掩码:255.255.255.0
- 默认网关:192.168.56.1
- 首选DNS服务器:8.8.8.8
- 备用DNS服务器:8.8.4.4
图 13:配置 IP 地址
确保来宾(Win7)和主机(Ubuntu)可以互相 ping 通。
图 14:主机 ping 访客
图 15:访客 ping 主机
禁用嘈杂的网络服务
1. 特雷多
以管理员身份打开命令提示符,然后运行:
netsh interface teredo set state disabled2. 链路本地多播名称解析 (LLMNR)
打开组策略编辑器。然后导航到计算机配置 > 管理模板 > 网络 > DNS 客户端,然后打开关闭多播名称解析。
将策略设置为启用。
图 16:关闭 MNR
3. 网络连接状态指示、错误报告等
打开组策略。然后导航到计算机配置 > 管理模板 > 系统 > Internet 通信管理,然后打开限制 Internet 通信。
将策略设置为启用。
图 17:启用限制互联网通信
安装并运行代理
在此处下载代理 。将文件复制到 Win7 虚拟机中。
运行(双击)agent.py 将启动 HTTP 服务器,该服务器将侦听连接。
如果您希望脚本在 Windows 启动时启动,只需将该文件放在 Startup 文件夹中即可。所有用户启动文件夹应为C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup。
拍摄虚拟机快照
启动agent.py并将其最小化后,创建一个名为“Snapshot1”的快照。
图 18:拍摄快照
步骤 4.b:使用预构建的 VM 准备来宾
在此处下载 OVA 文件。这个bz2压缩文件包含Win10和Win7。
提取文件后,在 Ubuntu 中使用 vboxmanage 命令导入 OVA 文件。
vboxmanage import Win10.ovavboxmanage import Win7.ova
如果 vboxnet0 不可用,请在文件 > 主机网络管理器中创建网络。
打开盒子,运行 User Downloads 文件夹中的 agent.py。
创建快照。将快照重命名为“snapshot1”。该名称将在下一节中解释的配置中使用。
布谷鸟配置
不要忘记阅读配置文档以了解配置,因为您的配置可能与我的配置不同。 /opt/CAPEv2/conf 中需要配置的重要文件:
- 布谷鸟配置文件
图 19:将“kvm”更改为“virtualbox”
图 20:将 IP 更改为 vboxnet0 接口的 IP
图 21:将 5000 更改为 0
- 辅助配置文件
- 根据自己的需求配置
- 虚拟机配置文件
- 更改标签、ip、快照名称
图22:更改VM分析名称(win7)
- 内存配置文件
图 23:更改我们的分析 VM 名称
- 报告.conf
- 根据自己的需求配置
- 网络配置文件
图 24:启用评分
运行 Cuckoo 和 Web 服务器
$ cd /opt/CAPEv2/utils
$ sudo python3 community.py -cr
$ sudo pip3 install -U git+https://github.com/CAPESandbox/httpreplay
$ cd /opt/CAPEv2/
$ sudo python3 cuckoo.py对于 Web,在新选项卡中运行以下命令:
$ cd /opt/CAPEv2/web
$ sudo python3 manage.py migrate
$ sudo python3 manage.py runserver 0.0.0.0:8080提交
在互联网上下载任何恶意软件样本,我们就可以开始使用仪表板提交样本。
图 25:CAPE 分析我们的 WannaCry 样本
图 26:WannaCry 感染了我们的虚拟机分析
图 27:分析完成
解决错误
如果您的 Linux 找不到 ResultServer,如下图所示:
图 28:CuckooCriticalError
- 打开虚拟盒子
- 运行分析虚拟机
- 关闭虚拟机并使其恢复到最后一个快照
- 运行 Cape 脚本“sudo python3 cuckoo.py”
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
