| | at : |
Archive

[Cuckoo를 이용한 악성코드 분석] #2 Cuckoo SandBox의 web ui 및 샘플 실행파일 분석(web ui & sample analysis) 하훌 rwxr-xr-x 0 3/02/2015



[Cuckoo를 이용한 악성코드 분석] #2 Cuckoo SandBox의 web ui 및 샘플 실행파일 분석(web ui & sample analysis)

Permission rw-r--r--
Author 하훌
Date and Time 3/02/2015
Label
License 크리에이티브 커먼즈 라이선스


악성코드 분석 도구인 cuckoo sandbox를 통한 분석 방법에 대한 두번째 이야기입니다.

사실 가장 귀찮은 부분이 #1인 설치인 것 같습니다..

#2에서는 간단하게, 웹 ui를 사용하는 방법과 sample(그냥 의미없는 파일) 분석 돌린 결과나 볼까 합니다.



1. cuckoo sandbox web ui


cuckoo는 기본적으로 콘솔모드와 웹 UI 둘 다 지원합니다.
콘솔이 편하긴 하지만 개인적으로 분석된 보고서(웹스캐너나, 악성코드 스캔 데이터 등)는 웹이 훨씬 편합니다.

웹 ui 사용은 간단합니다.

cuckoo가 설치된 디렉토리 하단에 util 디렉토리가 있습니다.거기서 web.py를 편집하고 실행하여 웹 ui 구성이 가능합니다.

기본적으로 8080 포트로 지원하지만, 다른 툴에서 사용한다면 변경해서 사용이 필요합니다.
(대다수 툴이 8080을 굉장히 좋아하는 듯 합니다.. 저 또한)

# vim cuckoo/util/web.py

열어보시면 간단한 파이썬 웹 서버 코드입니다.

아래 290번대 줄 보시면 run 함수 부분에 인자값으로 받은 port 데이터를 port에 넣어 실행하는 것 같아 보입니다.

290 if __name__ == "__main__":
291     parser = argparse.ArgumentParser()
292     parser.add_argument("-H", "--host", help="Host to bind the web server on", default="0.0.0.0", action="store", required=False)
293     parser.add_argument("-p", "--port", help="Port to bind the web server on", default=8080, action="store", required=False)
294     args = parser.parse_args()
295
296     run(host=args.host, port=args.port, reloader=True)

인자값에서 포트를 제어해도 되고 아니면 코드상에서 강제로 포트정보 삽입하여 사용하시면 됩니다.

아무튼 cuckoo 가 실행된 후 web.py 를 실행하면 실행 pc에 8080포트로 웹 서버가 올라갑니다.
접근 시 아래와 같이 cuckoo sandbox의 웹 ui 가 나타납니다.

2. 샘플 분석 결과(fiddlerInstaller.exe)




어떤 파일을 올릴까 하다가 pc 안에 있던 fiddler 설치 파일을 올렸습니다.

분석 시작 후 vm이 호출되면서 실행되는 과정이 나타나네요.



cuckoo 를 실행한 터미널에서도 여러 로그가 나타나며 분석이 완료 됬다는 메시지가 발생합니다.



웹 ui  에서 클릭하여 리포트 결과를 확인했습니다.




인트톨 파일이여서 굉장히 데이터가 컸습니다.
(특히 스크린샷)

 이번 섹션은 #1에서 진행 후 남은 데이터를 쓰기 위한 결과물 같네요.
#3에서는 실제 악성코드 샘플 및 간단하게 샘플하나 만들어서 확인해보고 포스팅하겠습니다.

감사합니다.


#1 Cuckoo SandBox 설치하기 (Install Cuckoo SandBox on debian linux)
http://www.hahwul.com/2015/03/cuckoo-1-cuckoo-sandbox-install-cuckoo.html

#2 Cuckoo SandBox의 web ui 및 샘플 실행파일 분석(web ui & sample analysis)
http://www.codeblack.net/2015/03/cuckoo-2-cuckoo-sandbox-web-ui-web-ui.html







Share







HAHWUL
HACKING | PENETRATION-TEST | CODING
HACKERONE : GIT : 0DAY-TODAY : EXPLOIT-DB : PACKETSTORM
GOOGLE+ | HAHWUL@GMAIL.COM | TWITTER
WWW.HAHWUL.COM




0 개의 댓글:

댓글 쓰기