开源沙箱CuckooSandbox 介绍与部署

1. 介绍

1.1应用
  在工做中不少时候须要本身对一些能够程序，可执行文件进行检测，固然咱们能够经过VT，微步，等一些开源的平台进行检测。如今咱们经过本身搭建的开源的沙箱进行检测。所谓沙箱，是分离运行程序的一种安全机制。他一般用于执行未经测试的代码，或来自第三方、供应商、不可信网站等的不可信程序。咱们能够经过沙箱在一个隔离的环境运行，不可信程序，而且获取他作的信息。
  恶意软件分析通常分为两种:静态分析和动态分析。沙箱是动态分析的应用，它不静态分析二进制文件，实时执行而且监控恶意软件。这能够帮助安全分析人员获取不可信软件的细节，好比网络行为等，静态和动态分析不可信程序。生成的结果能够更快帮助咱们对恶意软件进行分析。
1.2 关于Cuckoo
  Cuckoo是一个开源的自动恶意软件分析系统,咱们能够用它来自动运行和分析文件，并能够获取到全面的分析结果，
  Cuckoo 能够获取如下类型结果:
    1.追踪由恶意软件产生的全部进程执行的调用
    2.恶意软件在执行中增删改查状况
    3.恶意软件进程的内存输出
    4.PCAP包格式的网络流量跟踪
    5.在执行软件关键截图
    6.机器所有内存输出

1.3 Cuckoo模块和可分析样本类型:
    • Generic Windows executables
    • DLL files
    • PDF documents
    • Microsoft Office documents
    • URLs and HTML files
    • PHP scripts
    • CPL files
    • Visual Basic (VB) scripts
    • ZIP files
    • Java JAR
    • Python files
    • Almost anything else

1.4 体系结构 

  Cuckoo沙箱是由一个中心管理软件组成，处理样本执行和分析。每个分析都在一个独立的虚拟或者物理机器中启动，Cuckoo主要组件时主机（用于管理软件）和一些客户机（虚拟机或者物理机进行分析）。

  在主机中运行沙箱的核心组件，管理分析过程，客户机是隔离环境，恶意样本在其中隔离分析。Cockoo架构以下：

 

2.部署

本篇采起docker 的部署方案（有时间下一篇用几台云主机测试）

2.1 依赖环境

  • blacktop/yara:3.7
  • blacktop/volatility:2.6
  • Docker
  • Docker-compose
  • Ubuntu 16 STL 云主机

 

2.2 在Ubuntu16 TSL 云主机
安装 Homebrew

开始安装

git clone https://github.com/blacktop/docker-cuckoo
cd docker-cuckoo
docker-compose up -d
For docker-machine
curl $(docker-machine ip):8000/cuckoo/status
For Docker for Mac
curl localhost:8000/cuckoo/status

2.3 开始进入
  浏览器中输入 http://ip

3. 使用介绍
  3.1安装沙箱后，咱们应该问本身要达到什么样的目标：
    1.这是什么样的文件
    2.但愿处理多少分析
    3.结合那些平台进行分析，各个分析平台各有优点，结合起来更加全面准确
    4.对于本文件，预期要获得什么样的信息

4.使用

5.参考

https://github.com/cuckoosandbox/cuckoo

https://cuckoo.sh/docs/

https://github.com/blacktop/docker-cuckoo#dependencies

https://cuckoo.sh/docs/installation/host/

https://cuckoo.sh/docs/installation/index.html