Hoy voy a mostrar como se instala la sandbox Cuckoo, lo haré en varias partes ya que aunque es relativamente fácil quiero explicarlo bien ya que en muchos sitios se omiten partes importantes de opciones que yo creo necesarias para un buen análisis y las cuales si no se explican correctamente o se omiten pueden no funcionar bien.
Antes que nada decir que toda la instalación la haré bajo Debian Linux como S.O principal y como cliente Windows XP, como maquina virtual usare VirtualBox, se puede usar el Linux o Mac que vaya mejor, muchos usan Ubuntu.
Empezaremos con la primeras instalaciones siguiendo las recomendaciones de Cuckoo:
Requirimientos:
Ahora instalaremos Python la versión 2.7 que es la que recomienda Cuckoo y las librerías de Python:
- sudo apt-get install python
- sudo apt-get install python-sqlalchemy python-bson
sudo apt-get install python-pip- sudo apt-get install python-sqlalchemy
- sudo apt-get install libxml2-dev libxml2-utils
- sudo apt-get install libdevmapper-dev libdevmapper
- sudo apt-get install python-dpkt python-jinja2 python-magic python-pymongo python-libvirt python-bottle python-pefile ssdeep (Con ssdeep tenemos que tener especial cuidado, ya el manual solo especifica que se debe instalar pydeep para usar ssdeep, lo que no menciona es que todo que lo hagas al ejecutar ./cuckoo te dara un error de dependencias de fuzzing.h, la cual no menciona ni que debe instalarse ni como, en este subpunto de abajo os pondré los paquetes necesarios).
- sudo apt-get install build-essential git libpcre3 libpcre3-dev libpcre++-dev
- sudo apt-get install git (Ira muy bien para descargar volatile por ejemplo i mas cosas que vienen ahora)
- Creamos una carpeta en el directorio que queramos yo la tengo en mi /home/user/pydeep
- git clone https://github.com/kbandla/pydeep.git pydeep
- cd /home/tuusuario/pydeep
- python setup.py build
- python setup.py
apt-get install python-pyrex python-all python-all-devapt-get install subversion libapr1 libaprutil1 libdb4.8 libsvn1apt-get install libfuzzy-dev libfuzzy2 (muy importante)
Ahora continuaremos con tcpdump para ver los volcados de red que hará cuckoo:
sudo apt-get install tcpdumpsudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump ( Para no tener que ejecutar tecpdump con usuario root, ya que Cuckoo no os funcionaria ya os diré porque mas adelante)
Ahora vendrá la instalación de Volatile, es opcional pero yo la recomiendo ya que nos permite analizar como se comporta el malware en memoria. Una vez mas creas en tu directorio una carpeta llamada "volatile" y se descarga el programa de aquí:
Después abrís la carpeta y como hemos hecho antes:
- python setup.py build
- python setup.py
Si queréis instalar mas opciones ya lo dejo a vuestro gusto, ya que hay multitud de opciones que instalar para hacer el análisis, al igual que podéis usar la BD que mas os guste para guardar resultados como puede ser MySQL, PostgrSQL, MongoDB, etc....
Ahora iremos a la instalación de Cuckoo, es fácil vais a:
y lo descargáis y descomprimis donde mas os guste y tar xvfz cuckoo-current.tar.gz.
Por ahora lo dejaremos aquí ya que no quiero hacer un post demasiado largo y pesado, en la segunda entrega se verá como acabar de instalar Cuckoo, VirtualBox, Windows XP y sus configuraciones.
Un saludo
Por ahora lo dejaremos aquí ya que no quiero hacer un post demasiado largo y pesado, en la segunda entrega se verá como acabar de instalar Cuckoo, VirtualBox, Windows XP y sus configuraciones.
Un saludo
No hay comentarios:
Publicar un comentario