Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文)
请勿叫我大神,我只是互联网的搬运工~
前言
由于这几天老大让我搭个cuckoo服务器方便做一些恶意样本分析的工作,但目前搜到的清一色都是ubuntu18、16的安装教程,可是我搭的系统是Ubuntu20= =…(真的是愁死我了)
本教程以Ubuntu20桌面版作为示范,服务器版同样适用,但可能稍微麻烦一点,服务器版本的话安装Xmanage套装使用可能会相对轻松一些,由于后面会使用到vbox的使用,对vbox命令行操作不熟悉的小伙伴用xmanage可能会相对轻松一点。
提示:以下是本篇文章正文内容,下面案例可供参考
安装ubuntu20桌面版
第1步:转到https://ubuntu.com/download/desktop下载下载.iso。
第2步:使用您选择的虚拟机监控程序(VMWare Workstation/VirtualBox/VMWare ESXi等)安装基本的Ubuntu20桌面。
确保你已经为你的ubuntu20桌面设置了足够的RAM和硬盘空间,因为你将在里面运行一个windows7虚拟机,其中至少有4GB的RAM和60–80GB的硬盘。
第3步:安装时,请确保不要将您的用户名称为“cuckoo”,否则这可能会与以后的安装冲突。
第4步:确保您的虚拟机已启用VT-x功能。还要确保分配了足够的RAM,因为您的Windows7虚拟机至少需要4GB。
第5步:一旦你的Ubuntu20桌面准备好了,然后登录。
第6步:单击Activities(左上角),然后键入Terminal并单击Terminal图标启动它。
第7步:你现在应该有一个终端窗口。
第8步:确保你的Ubuntu已经完全更新
sudo apt-get update && sudo apt-get upgrade -y
第9步:输入密码以sudo root身份运行命令。
第10步:如果出现提示,请选择y继续。更新和升级完成后,将返回终端提示符。
第11步:让一个单独的用户来运行沙盒是一种很好的安全习惯。现在我们将创建我们的用户:
sudo adduser cuckoo
第12步:为新用户选择密码。
第13步:按要求在字段中输入用户信息。或者您可以只留下空白,然后按回车键。
按Y确认输入的信息。这将使您返回到终端提示符。
第14步:现在我们要将该用户添加到sudo组。输入
sudo adduser cuckoo sudo
第15步:现在我们将安装cuckoo的准备环境。
第16步:我们需要安装curl,所以键入
sudo apt-get install curl
然后我们需要下载get python pip命令,所以键入
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -O
获取get-pip.py
第17步:现在我们需要安装python,同时安装pip,所以键入
sudo apt get install python
sudo python get-pip.py
第19步:现在我们要安装安装VirtualBox和cuckoo所需的先决条件
sudo apt-get install -y python-dev libffi-dev libssl-dev libfuzzy-dev libtool flex autoconf libjansson-dev git
第20步:现在我们需要安装Python支持工具
sudo apt-get install -y python-setuptools
第21步:现在我们将安装jpeg和接口支持工具
sudo apt-get install -y libjpeg-dev zlib1g-dev swig
第22步:现在安装mongodb
sudo apt-get install -y mongodb
第23步:cuckoo推荐的数据库是PostgreSQL,所以运行
sudo apt-get install -y postgresql libpq-dev
第24步:现在我们安装VirtualBox。
第25步:现在我们将安装virtualbox 6.1,所以键入
sudo apt-get install-y virtualbox
第26步:现在我们将下载并安装cuckoo工作所需的所有插件。通过键入
cd Downloads/
或当前不在主目录中键入
~/Downloads
来切换到下载文件夹
第27步:现在我们从安装volatile
git clone https://github.com/volatilityfoundation/volatility.git
然后
cd volatility
第28步:下一步我们将构建它,键入
sudo python setup.py build
安装
sudo python setup.py install
第29步:现在回到你的下载目录
cd ..
第30步:现在我们要安装Distorm3
sudo -H pip install distorm3==3.4.4
第31步:现在我们要安装Yara
sudo -H pip install yara-python==3.6.3
第32步:现在我们要安装ssdeep
sudo apt-get install -y ssdeep
现在输入ssdeep-V来验证它的安装,您可以看到目前是2.14.1版本。
第33步:现在我们将安装pydeep
sudo -H pip install pydeep
我们可以通过键入
pip show pydeep
来检查它是否已安装
第34步:现在我们将安装openpyxl
sudo -H pip install openpyxl
第35步:现在安装ujson
sudo -H pip install ujson
第36步:现在安装jupyter
sudo -H pip install jupyter
第37步:现在我们将安装TCPDump以启用数据包捕获分析
sudo apt-get install tcpdump
可能已经安装了。
接着键入
sudo apt-get install libcap2-bin
可能已经安装了。
sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
然后
getcap /usr/sbin/tcpdump
第38步:我们需要安装和禁用apparmor,因为它通过保护应用程序来保护Ubuntu操作系统,我们希望TCP Dump能够正确运行
sudo apt-get install -y apparmor-utils
然后输入
sudo aa-disable /usr/sbin/tcpdump
第39步:现在终于可以安装cuckoo sandbox了。
第40步:键入
pip install -U pip setuptools
可能会说已经满足了要求。
第41步:现在我们将安装cuckoo
sudo -H pip install -U cuckoo
第42步:现在为cuckoo创建默认目录
cuckoo
第43步:现在我们需要设置virtualbox环境。我们需要安装网络工具
sudo apt install -y net-tools
第44步:现在键入ifconfig以查找虚拟机的IP地址信息。
第45步:现在我们要创建一个只支持主机的网络适配器
vboxmanage hostonlyif create
第46步:我们现在要为虚拟接口设置IP地址
vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1
第47步:如果您再次运行ifconfig,您将看到您刚刚设置的接口和IP地址。
第48步:我们要使这些更改在重新启动后仍然有效,并在系统启动期间自动设置。所以我们需要建立一个新的目录
sudo mkdir /opt/systemd/
然后
sudo nano /opt/systemd/vboxhostonly
并将以下代码复制到文件中:
!/bin/bash
hostonlyif create
vboxmanage hostonlyif ipconfig vboxnet0 --ip 192.168.56.1
然后Ctrl+X退出,Y保存,enter写入文件。
第49步:现在我们需要使文件可执行
cd /opt/systemd/
sudo chmod a+x vboxhostonly
第50步:现在我们需要创建一个服务
sudo touch /etc/systemd/system/vboxhostonlynic.service
第51步:编辑文件
sudo nano /etc/systemd/system/vboxhostonlynic.service
然后
Description=Setup VirtualBox Hostonly Adapter
After=vboxdrv.service
[Service]
Type=oneshot
ExecStart=/opt/systemd/vboxhostonly
[Install]
WantedBy=multi-user.target
然后Ctrl+X退出,Y保存,enter写入文件。
第52步:现在安装服务并确保它在引导时加载
systemctl daemon-reload
systemctl enable vboxhostonlynic.service
网络部分完成。
第53步:我们现在将使用vbox创建一个Windows7SP1x64虚拟机
*请注意,这部分需要您自己的许可证
第54步:单击左下角的菜单图标,然后键入或选择虚拟框
第55步:一旦您选择了它,Oracle VirtualBox Manager应该启动。
第56步:我们现在要创建Windows7虚拟机。因此,单击New图标创建一个新的虚拟机。
第57步:输入一个名称,为了方便起见,我们将虚拟机命名为cuckoo1。选择要安装的操作系统。
第58步:现在单击下一步。选择要分配的RAM大小。理想情况下,最小值为4GB。对于我的一个,我将设置为7024MB(7GB)。
第59步:单击下一步。通过单击“创建”创建虚拟硬盘。
第60步:选择VDI并单击Next。
第61步:选择“动态分配”,然后单击“下一步”。
第62步:选择你的硬盘大小。我已设置为80GB。
第63步:现在单击“创建”。
第64步:现在你需要把Windows7ISO文件装载到你的Ubuntu虚拟机上。
第65步:单击“确定”。这将把Windows7.iso安装到虚拟机中。现在单击VirtualBox中的设置,然后转到存储。现在单击CD(空)。在右侧或光盘驱动器上,单击CD旁边的向下箭头,然后选择主机驱动器作为CD选项。
第66步:单击“确定”关闭,然后开始启动虚拟机。按照正常的Windows7安装。我把我的Windows7虚拟机叫做cuckoo1。
第67步:现在您的Windows7虚拟机已构建,请登录。我们将进行一些更改,以使虚拟机故意易受攻击。转到“开始”并键入组。您应该看到“编辑组策略”选项。
第68步:展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。向下滚动到用户帐户控制选项。
第69步:右键单击“用户帐户控制:管理员审批模式下管理员的提升提示行为”,然后选择“属性”。使用下拉菜单选择“提升而不提示”,然后单击“确定”。
第70步:右键单击“用户帐户控制:检测应用程序安装并提示提升”,然后选择属性。选中“禁用”选项,然后单击“确定”。
第71步:右键单击“用户帐户控制:以管理员批准模式运行所有管理员”,然后选择属性。选中“禁用”选项,然后单击“确定”。
第72步:现在我们要禁用Windows更新的自动安装。转到“计算机配置”>“管理模板”>“Windows组件”>“Windows更新”,然后右键单击“配置自动更新和编辑”。选择Enabled,2-Notify for download和Notify for install,然后单击ok。
第73步:现在我们需要从网络中删除Windows保护。转到“计算机配置”>“管理模板”>“网络”>“网络连接”>“Windows防火墙”>“域配置文件”>“Windows防火墙”,然后将“保护所有网络连接”更改为“禁用”。
第74步:接下来我们需要禁用Windows Defender,因为我们不需要防病毒或恶意软件保护。我们通过进入“计算机配置”>“管理模板”>“Windows组件”>“Windows Defender Antivirus”来完成此操作,然后将“关闭Windows Defender Antivirus”设置为“已启用”。
第75步:将这些文件放到Windows7虚拟机的最简单方法是安装VirtualBox来宾添加并创建一个共享文件夹。
您可以通过单击VirtualBox窗口中的设备并选择InstallVirtualBox Guest Additions来完成此操作。然后,这会将一张CD装入虚拟机,然后您可以从虚拟机中的CD运行。
设置共享文件夹后,请重新启动Windows 7虚拟机,然后登录,您可以转到Windows中的文件资源管理器并键入\\vboxsvr\*Downloads,这将带您到映射的共享文件夹*我共享了我的Ubuntu下载文件夹。
第76步:现在我们需要安装Python2.7 for windows。你可以从https://www.python.org/ftp/python/2.7.8/python-2.7.8.amd64.msi
将此.msi放入共享文件夹并从Windows7虚拟机运行。
下一步下载Python Pillow
https://pypi.python.org/packages/2.7/P/Pillow/Pillow-2.5.3.win-amd64-py2.7.exe#md5=33c3a581ff1538b4f79b4651084090c8
将此.msi放入共享文件夹并从Windows 7虚拟机运行。
第77步:现在安装Adobe Reader、Flash、Java和Microsoft Office(可选)以及您认为可能需要的任何其他应用程序。
第78步:打开Internet Explorer和Adobe Reader以及任何其他可能有可能干扰cuckoo客户端操作的闪屏的应用程序。
第79步:从你的Ubuntu主机上传agent.py文件,这个文件可以在你的Ubuntu机器的~/.buckoo/agent目录中找到。您可以通过将其复制到虚拟机的下载或共享文件夹中来完成此操作。cd~/.buckoo/agent然后cp agent.py ~/共享文件
第80步:复制agent.py文件并将其放置在C:\Users\*USERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
这将在启动虚拟机时启动agent.py。在Windows7虚拟机上,需要显示隐藏的文件和文件夹才能看到AppData文件夹。
您可以通过进入“文件资源管理器”,然后进入“组织”>“文件夹选项”来完成此操作。
第81步:一旦您对安装了所有必需的软件感到满意,请重新启动Windows7虚拟机并登录。你应该得到一个空白的命令窗口出现。如果出现网络弹出窗口,请单击“允许”。
第82步:现在可以最小化虚拟机。
第83步:现在我们已经创建了Windows7虚拟机,我们需要设置网络来创建沙盒环境。单击VirtualBox管理器,然后单击Windows 7虚拟机的设置。选择网络,然后更改附加到:仅主机适配器,然后在名称中选择vboxnet0。单击“确定”。
第84步:现在你需要让这个持久化。
sudo apt-get install -y iptables-persistent
当提示您保存当前配置时,选择“是”
第85步:现在我们需要配置IP转发,以便将internet连接从主机路由到来宾虚拟机。我们将使用iptables设置这些网络转发规则:
sudo iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
然后
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
然后
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
第86步:您可以通过运行sudo iptables-L来检查您的规则
第87步:现在在内核中启用IP转发,以便将这些设置设置为活动(WWW Internet访问需要):
echo 1 | sudo tee -a /proc/sys/net/ipv4/ip_forward
然后
sudo sysctl -w net.ipv4.ip_forward=1
第88步:现在我们需要确保IP转发在重新启动后启动。
sudo nano /etc/sysctl.conf
把#从net.ipv4.ip_forward=1项移除
然后Ctrl+X退出,Y保存,enter写入文件。
现在运行sudo su –然后iptables save > /etc/iptables/rules.v4
第89步:现在我们需要配置Windows7虚拟机的IP地址信息。在中打开网络适配器并设置以下信息:
第90步:单击“确定”和“确定”之后,您应该再次获得internet连接。
第91步:我们现在要拍摄虚拟机的快照,所以单击Machine>takesnapshot。将其命名为Snapshot 1,然后单击ok。
第92步:我们现在需要在ubuntu20上完成cuckoo服务的配置。所有cuckoo配置文件都位于
~/.cuckoo/conf
或您的主目录
cd .cuckoo/
目录中。
第93步:切换到config目录类型
cd ~/.buckoo/conf
通过
sudo nano buckoo.conf
编辑buckoo.conf文件确保设置了以下内容:machine=virtualbox
和memory_dump=yes
和resultserver ip=192.168.56.1,
然后Ctrl+X退出,Y保存,enter写入文件。
第94步:通过
sudo nano auxiliary.conf
编辑auxiliary.conf文件确保启用了
sniffer=yes
然后Ctrl+X退出,Y保存,enter写入文件。
第95步:通过
sudo nano virtualbox.conf
编辑virtualbox.conf文件,并确保
virtualbox mode=gui
和machines=buckoo1
(如果需要,将名称更改为您的Windows 7虚拟机名称,label=buckoo1和platform=Windows和ip=192.168.56.101和snapshot=snapshot 1),
然后按Ctrl+X退出,按Y保存并输入以写入文件。
第96步:通过
sudo nano processing.conf
编辑processing.conf文件,
确保memory enabled=yes,
然后Ctrl+X退出,Y保存,enter写入文件。
第97步:使用
sudo nano memory.conf
编辑memory.conf文件,
确保basic guest_profile=Win7SP1x64,
然后按Ctrl+X退出,按Y保存,按enter写入文件。
第98步:如果您需要另一个操作系统,那么您可以通过运行
vol.py--info | grep profiles -A48
获得受支持配置文件的完整列表
第99步:通过
sudo nano reporting.conf
编辑reporting.conf文件,确保singlefile启用
report.html enabled=yes和mongodb enabled=yes的创建,
然后Ctrl+X退出,Y保存,enter写入文件。
第100步:现在关闭Windows7虚拟机,然后重新启动Ubuntu虚拟机。以同一用户身份重新登录(不要以cuckoo用户身份登录)
第101步:现在要使用cuckoo你首先需要更新cuckoo的签名,所以打开一个终端并键入
cuckoo community
第102步:现在打开VirtualBox Manager并启动您的cuckoo1虚拟机。登录后,显示空白命令窗口,然后最小化虚拟机。
第103步:现在在终端窗口1中键入cuckoo并按回车键。你将得到启动cuckoo,它将坐在等待分析任务。
第104步:在第二个终端窗口中键入
buckoo web runserver 0.0.0.0:8000
第105步:现在您可以通过127.0.0.1:8000访问cuckoo网络服务器,或者通过浏览器访问本地网络上的虚拟机IP地址。
最后呈现在您面前的就是cuckoo sandbox。它们在buckoo conf文件中有更多的设置,您可以将MISP和其他服务直接连接到它。
搬运来源:https://utopianknight.com/malware/cuckoo-installation-on-ubuntu-20/