CuckooAutoInstall — скрипт автоматического установщика для песочницы Cuckoo

Что такое песочница Cuckoo?

В трех словах Cuckoo Sandbox представляет собой систему анализа вредоносных программ.

Что это значит?

Это просто означает, что вы можете бросить в него какой-либо подозрительный файл, и в считанные секунды Cuckoo предоставит вам некоторые подробные результаты, в которых будет указано, что делает это файл, когда он выполняется в изолированной среде.

Использование

  • Выполните скрипт: sh cuckooautoinstall.sh
  • Добавьте пароль для пользователя ‘cuckoo’, созданный скриптом. Используйте команду passwd cuckoo.
  • Создайте виртуальные машины http://docs.cuckoosandbox.org/en/latest/installation/guest/ или импортируйте виртуальные машины, используя VBoxManage import virtual_machine.ova
  • Добавьте к виртуальным машинам параметр HostOnly, используя vboxnet0: vboxmanage modifyvm «virtual_machine» —hostonlyadapter1 vboxnet0 (используйте эту команду для отображения виртуальных машин: VBoxManage list vms)
  • Настройте cuckoo: cuckoo/conf/cuckoo.confcuckoo/conf/auxiliary.conf & cuckoo/conf/virtualbox.conf
  • Выполните cuckoo (проверьте выводt): cd cuckoo && python cuckoo.py
  • Выполните webpy (пор 8080): cd cuckoo/utils && python web.py
  • Выполните django используя порт 6969: cd cuckoo/web && python manage.py runserver 0.0.0.0:6969

Возможности скрипта

  • Он устанавливает по умолчанию песочницу Cuckoo со всеми дополнительными материалами: yara, ssdeep, django …
  • Он устанавливает последние версии: ssdep, yara, pydeep-master & jansson.
  • Он пытается решить общие проблемы во время установки: ldconfigs, autoreconfs …
  • Он устанавливает по умолчанию VirtualBOX и создает hostonlyif.
  • Он создает правила iptables и ipforward для включения Интернета в виртуальные машины cuckoo:
sudo iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE
sudo sysctl -w net.ipv4.ip_forward=1

Он позволяет запускать tcpdump от пользователя «не root»:

sudo apt-get -y install libcap2-bin
sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump 

Он создает пользователя «cuckoo» в системе, и он также добавляет этого пользователя в группу vboxusers.
Это включает  mongodb в conf/reporting.conf
Исправлена ошибка «TEMPLATE_DIRS setting must be a tuple» при установке python manage.py из версии DJANGO> = 1.6:

Замена в web/web/settings.py:

 TEMPLATE_DIRS = (
"templates"
)
For:
TEMPLATE_DIRS = (
("templates"),
)

Скачать CuckooAutoInstall

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40