1.

Giới Thiệu Về Cuckoo Sanbox
Cuckoo Sanbox là hệ thống phân tích tự động mã nguồn
mở tự động hàng đầu. Bạn có thể ném bất kỳ tập tin đáng
ngờ vào nó và trong vài phút Cuckoo sẽ cung cấp một báo
cáo chi tiết phác hoạ hành vi của tập tin khi thực hiện bên
trong một môi trường thực tế nhưng bị cô lập.
Phân tích nhiều tệp tin độc hại khác nhau (tệp thi hành, tài
liệu văn phòng, tệp pdf, email ...) cũng như các trang web
độc hại dưới Windows, Linux, Mac OS X và các môi trường
ảo hóa của Android.
Các cuộc gọi API Trace và hành vi chung của tập tin và
chưng cất những thông tin này ở mức độ cao và chữ ký có
thể hiểu được bởi bất cứ ai.
Loại bỏ và phân tích lưu lượng mạng, ngay cả khi được mã
hóa bằng SSL / TLS. Với hỗ trợ định tuyến mạng cục bộ để
thả tất cả lưu lượng truy cập hoặc tuyến đường qua
InetSIM, giao diện mạng hoặc VPN.
Thực hiện phân tích bộ nhớ tiên tiến của hệ thống ảo hóa
bị nhiễm bệnh thông qua Sự biến động cũng như trong quá
trình xử lý hạt bộ nhớ bằng cách sử dụng YARA.
Do tính chất nguồn mở của Cuckoo và thiết kế modun mở
rộng, chúng ta có thể tùy chỉnh bất kỳ khía cạnh nào của
môi trường phân tích, xử lý kết quả phân tích và giai đoạn
báo cáo. Cuckoo cung cấp cho bạn tất cả các yêu cầu để dễ
dàng tích hợp các sandbox vào khuôn khổ hiện tại của bạn
và phụ trợ theo cách bạn muốn, với định dạng mà bạn
muốn, và tất cả những điều đó mà không có yêu cầu cấp
phép.

2.

Tạo một người dùng
Bạn có thể chạy Cuckoo từ người dùng của riêng bạn hoặc
tạo một Cuckoo mới chỉ dành cho thiết lập. Đảm bảo rằng
người dùng chạy Cuckoo là người dùng tương tự mà bạn sẽ
sử dụng để tạo và chạy các máy ảo (ít nhất là trong trường
hợp của VirtualBox), nếu không Cuckoo sẽ không thể xác
định và khởi chạy các Máy Ảo này.


Tạo một người dùng mới:
$ sudo adduser cuckoo
Nếu bạn đang sử dụng VirtualBox, hãy đảm bảo rằng
người dùng mới thuộc nhóm "vboxusers" (hoặc nhóm bạn
đã sử dụng để chạy VirtualBox):
$ sudo usermod -a -G vboxusers cuckoo
Nếu bạn đang sử dụng KVM hoặc bất kỳ modun dựa trên
libvirt nào khác, hãy đảm bảo rằng người dùng mới thuộc
nhóm "libvirtd" (hoặc nhóm phân phối Linux của bạn sử
dụng để chạy libvirt):
$ sudo usermod -a -G libvirtd cuckoo
3.

Tăng giới hạn tệp
Quá nhiều tệp mở có thể bạn muốn vượt qua giới hạn số
lượng tệp tin trước khi bắt đầu Cuckoo vì nếu không một số
mẫu sẽ không xử lý đúng báo cáo (do mở nhiều tệp hơn
được cho phép bởi Hoạt động Hệ thống).


4.

Cài đặt Cucuco
Cài đặt phiên bản mới nhất của Cuckoo chỉ đơn giản như
sau.

$ sudo pip cài đặt -U pip setuptools
$ sudo pip cài đặt -U cuckoo
Mặc dù ở trên, một cài đặt toàn cầu của Cuckoo trong hệ
điều hành của bạn hoạt động tốt, chúng tôi khuyên bạn
nên cài đặt Cuckoo trong một virtualenv, có vẻ như sau:


$ virtualenv venv
$. venv / bin / kích hoạt
(venv) $ pip cài đặt -U pip setuptools
(venv) $ pip cài đặt -U cuckoo
Một số lý do để sử dụng virtualenv:
•

•

•

5.

Các phụ thuộc của Cuckoo có thể không hoàn toàn được
cập nhật, nhưng thay vào đó là một phiên bản được biết
đến với công việc đúng.
Sự phụ thuộc của các phần mềm khác được cài đặt trên

hệ thống của bạn có thể xung đột với những yêu cầu của
Cuckoo, do các yêu cầu về phiên bản không tương thích
(và có, điều này cũng có thể xảy ra khi Cuckoo hỗ trợ
phiên bản mới nhất, đơn giản bởi vì phần mềm khác có
thể đã được ghim vào một phiên bản cũ hơn).
Sử dụng virtualenv cho phép người dùng không phải root
cài đặt gói bổ sung hoặc nâng cấp Cuckoo vào một thời
điểm sau.

Cài đặt Cuckoo từ tệp
Bằng cách tải xuống bản sao của Gói Cuckoo và cài
đặt ngoại tuyến , người ta có thể thiết lập Cuckoo bằng
cách sử dụng một bản sao lưu trong bộ nhớ cache hoặc có
bản sao lưu các phiên bản Cuckoo hiện tại trong tương
lai. Chúng tôi cũng có các tùy chọn để tải về như một
tarball trên trang web của chúng tôi.
Có được Tarball của Cuckoovà tất cả các phụ thuộc của nó
bằng tay có thể được thực hiện như sau:
$ pip download cuckoo
Bạn sẽ kết thúc với một tập tin Cuckoo-2.0.0.tar.gz(hoặc
một số cao hơn, tùy thuộc vào phiên bản mới nhất được
phát hành ổn định) cũng như tất cả các phụ thuộc của nó
(ví dụ, alembic-0.8.8.tar.gz).


Cài đặt phiên bản chính xác của Cuckoo có thể được thực
hiện như bạn đã quen với việc cài đặt nó bằng cách sử
dụng piptrực tiếp, ngoại trừ bây giờ sử dụng tên tệp của
tarball:
$ pip cài đặt Cuckoo-2.0.0.tar.gz

Trên các hệ thống không có kết nối internet, lệnh này có
thể được sử dụng để tìm nạp tất cả các phụ thuộc cần thiết
và vì lý do này nên cài đặt Cuckoo hoàn toàn ngoại tuyến
bằng cách sử dụng các tệp đó, tức là bằng cách thực hiện
một cái gì đó như sau:$ pip download cuckoo
$ pip install * .tar.gz

6. Cuckoo Working Directory
Tất cả các thành phần cấu hình, dữ liệu được tạo ra, và kết
quả của Cuckoo sẽ được lưu trong thư mục này. Những tệp
này bao gồm nhưng không giới hạn ở những điều sau:

7.

•

Configuration

•

Cuckoo Signatures

•

Cuckoo Analyzer

•

Cuckoo Agent


•

Yara rules

•

Cuckoo Storage (where analysis results go)

•

And much more.

Cấu hình
Nếu bạn đã từng cập nhật thiết lập Cukoo cho phiên bản
mới hơn, bạn đã gặp phải vấn đề mà bạn phải thực hiện sao


lưu cấu hình, cập nhật Cuckoo của bạn và khôi phục lại cấu
hình hoặc áp dụng lại nó hoàn toàn.
Với sự ra đời của CWDchúng tôi đã nhận được thoát khỏi
cơn ác mộng cập nhật này.
Lần đầu tiên bạn chạy Cuckoomột CWDkiểm tra sẽ được
tạo cho bạn tự động, điều này khá nhiều diễn ra như sau:

Như đã chỉ ra bởi các thông điệp thông tin bây giờ bạn sẽ
có thể tìm thấy bạn CWD tại /home/cuckoo/.cuckoovì nó
mặc định ~/.cuckoo. Tất cả các tập tin cấu hình như bạn
biết chúng có thể được tìm thấy trong $CWD/confthư
mục. Ví
dụ$CWD/conf/cuckoo.conf, $CWD/conf/virtualbox.confvv



Bây giờ bởi vì CWDthư mục không phải là một phần của
Cuckoo chính nó, đó là, kho Git hoặc là một phần của một
trong những phiên bản mới nhất, một trong những sẽ có
thể nâng cấp Cuckoo mà không cần phải chạm
vào CWD. (Tất nhiên nếu một bản cập nhật được cài đặt
yêu cầu Cấu hình được cập nhật thì Cuckoo sẽ hướng dẫn
người dùng thông qua nó - thay vì ghi đè lên các tệp Cấu
hình chính nó)

8.

Đường dẫn CWD

Mặc dù CWDmặc định đối với ~/.cuckoođường dẫn này
hoàn toàn có thể được cấu hình. Sau đây liệt kê thứ tự ưu
tiên cho Cuckoo để xác định CWD.
•

Thông qua --cwdtùy chọn dòng lệnh (ví dụ, ).-cwd ~/.cuckoo

•

Thông qua CUCKOObiến môi trường (ví
dụ, ).export CUCKOO=~/.cuckoo

•

Thông qua CUCKOO_CWDbiến môi trường.


•

Nếu thư mục hiện tại là một CWD(ví dụ, giả sử rằng
một đã được tạo ra trong thư mục đó).cd ~/.cuckooCWD

•

Mặc định ~/.cuckoo,.

Bằng cách sử dụng các CWDđường dẫn thay thế , có thể
chạy nhiều trường hợp Cuckoo với các cấu hình khác nhau
bằng cách sử dụng cùng một thiết lập. Nếu vì một lý do nào
đó, người ta đòi hỏi phải có hai hoặc ba thiết lập riêng cho
cuckoo, ví dụ như trong trường hợp bạn muốn chạy phân tích
Windows và phân tích Android song song, sau đó không phải
nâng cấp từng trường hợp một lần mỗi khi cập nhật chắc
chắn là một bước tiến lớn.


Ví dụ để hiển thị cách cấu hình CWD.