Information Security/OpenSource

Information Security/OpenSource

Cuckoo Sandbox 1.1 Release

Cuckoo Sandbox가 1.1로 릴리즈 되었습니다. Changelog- 정적 PE 분석에 imphash 추가- 웹 인터페이스에서 URLs로 검색 추가- 웹 인터페이스에서 PE imphash 검색 추가- 대기 중인 모든 시스템을 웹 인터페이스에서 볼 수 있도록 추가 - Django 웹 인터페이스에서 행위 카테고리(behavior category)에 필터링 추가- Django 웹 인터페이스에서 분석기 로그 추가- 작업과 관련된 스크린 샷을 검색 할 수 있는 REST API 추가- 작업과 관련된 PCAP을 검색 할 수 있는 REST API 추가- 데이터베이스 마이그레이션 유틸리티 추가- submit.py 유틸리티에서 원격 submission 기능 추가- 통계 생성을 위한 stats.py 유틸리티 추가- ..

Information Security/OpenSource

Using Django within Cuckoo Sandbox

1. Introduction cuckoo (여기서 사용한 cuckoo는 1.0버전이다.)에서 utils/web.py를 통해 웹 인터페이스를 이용할 수 있지만, web.py는 0.3 버전쯤 부터 시작된 오래된 인터페이스이다. 이 인터페이스는 단순한 형태를 가지고 있어 분석결과가 많은 경우 로드 시간이 오래걸리는 등 불편함이 존재한다. 이러한 불편함을 해소하기 위해 cuckoo 1.0 버전 부터는 단순한 설정과 설치만으로 MongoDB를 이용하여 파이썬 웹 프레임워크인 Django를 이용하여 좀더 효율적인 웹 인터페이스를 운영할 수 있다. utils/web.py web/manager.py 2. Installation Django와 MongoDB를 설치해야한다.$ sudo apt-get install mong..

Information Security/OpenSource

How to install Cuckoo 1.0 with Tor Network #03

4. Configure 운영하는 환경에 따라 다르게 설정해야 하는 부분이다. 4.1. Kind of Cuckoo Configure Files Cuckoo의 설정은 cuckoo/conf 에 위치해 있다. Cuckoo를 운영하기 위한 네 가지의 설정 파일과, 가상머신을 운영하기 위한 네 가지의 설정 파일, 그리고 Volatility를 운영하기 위한 한 가지의 설정파일이 존재한다. Volatility는 운영자의 선택에 따라 운영되고, 기본 운영 설정 파일에서 부수적으로 함께 설정해야한다. 기본 운영 설정 파일 auxiliary.confcuckoo.confprocessing.confreporting.conf 가상 머신 운영 설정 파일 esx.confkvm.confvirtualbox.confvmware.conf ..

Information Security/OpenSource

How to install Cuckoo 1.0 with Tor Network #02

3.3. Preparing the Guest OS 3.3.1. Creation of the Virtual Machine and Installing Windows and Vulnerable Applications 가상머신 생성할 때 중요한 점은 "악성코드가 활발히 활동하기에 있어 충분한 환경인가?" 이다. 물리적 스펙으로 인해 악성코드의 실행에 있어 좋은 퍼포먼스가 나오지 않는다면 Cuckoo를 운영할 필요가 없기 때문이다. (Cuckoo가 아닌 선택이라면 Capture-BAT이나, 꼭 Cuckoo를 운영하고 싶다면 듀얼 부팅과 같은 다른 대안이 있다.) 대개 Sandbox들의 메모리는 512MB, Ubuntu는 2GB로 코어는 각각 1개와 4개로 주는 것을 권장한다. 윈도우를 Sandbox로 사용할 때 ..

Information Security/OpenSource

How to install Cuckoo 1.0 with Tor Network #01

1. Introduction HoneyClient 중에서 High-Interaction HoneyClient 중 하나인 Cuckoo 1.0의 설치 문서이다. Sandbox라는 환경을 구성하여 악성코드를 실환경과 격리를 시킨 후 악성코드를 실행하여 행위를 분석한다. 추가적인 다양한 모듈을 통해 패턴 탐지 방식을 이용한 일부 정적 분석도 가능하다. 이 블로그의 주제에 맞게 Drive-By Download 형태의 공격 탐지는 Cuckoo 0.5 버전부터 URL을 입력 받아 분석할 수 있다. 또한 현재 정리하는 Cuckoo 1.0 버전 부터는 메모리 분석 도구인 Volatility와 취약성 평가 시스템 및 데이터베이스를 운영하는 Mitre의 maec 모듈도 추가 되어 다방면으로 활용할 수 있을 것으로 예상된다...

Information Security/OpenSource

YARA1.7 on Kali Linux with GLIBC Error Report

1. 개요 Kali Linux에서 Python-pip로 yara 라이브러리를 설치하면 설치되지만, 파이썬에서 yara 라이브러리를 사용하려고 하면 다음과 같은 에러가 발생한다. GLIBC_2.14는 GNU C Library의 약자로 GNU 프로젝트에서 만든 C 언어 표준 라이브러리의 한 종류이다. Kali Linux는 Debian Wheezy 버전을 따라간다. 따라서 레파지토리(Repository)가 비록 Kali의 레파지토리로 되어 있어도 Dabian Wheezy의 패키지들을 다운로드 받고 설치한다고 볼 수 있다. GLIBC는 libc6 패키지와 개발버전인 libc6-dev 패키지를 통해 설치할 수 있으며, 커널에 설치되는 커널 패키지이기 때문에 설치한 운영체제의 비트에 따라 설치할 패키지가 달라진다...

Information Security/OpenSource

How to install phoneyc client honeypot

1. 개요 Thug가 구글의 자바스크립트 엔진인 V8을 사용한다면, PhoneyC는 모질라 재단의 자바스크립트 엔진인 SpiderMonkey를 사용한다. SpiderMonkey는 V8보다 다소 무겁고 느리다. 하지만 Thug에는 다양한 기능이 구현되어 있는 반면 PhoneyC는 단순한 형태(크롤링 기능이 구현되어 있지 않다.)이며 릴리즈가 중단된지 오래되어 구현과정이 단순하고 탐지 속도가 빠른 장점이 있다. tools/phoneyc$ svn info 경로: . URL: http://phoneyc.googlecode.com/svn/phoneyc/trunk 저장소 루트: http://phoneyc.googlecode.com/svn 저장소 UUID: fc4c6f4e-0ff0-11de-8c37-e1423f7a4..

Information Security/OpenSource

How to install thug client honeypot.

1. 개요 Client Honeypot 종류들 중에 이슈의 중심은 Thug라는 도구인데, 구글의 자바스크립트 엔진인 V8을 이용하여 Low Interaction Client Honeypot임에도 High Interaction에 가까워 지려고 꾸준히 노력하는 것과, 기능적 측면의 지속적인 릴리즈가 이유가 아닌가 싶다. 최근 새로나온 Yara 2.0에 발맞춰 Thug 또한 업데이트를 진행하였다. Thug를 설치하는데 있어 가장 문제점은 당연히 핵심 엔진인 V8에서 파이썬화 시킨 PyV8이다. Yara 2.0으로 인해 thug가 릴리즈 된 이후 순조롭게 thug를 설치했으나, 시간이 지난후 포스팅하기 위해 새롭게 설치할 땐 에러 발생으로 인해 진행하지 못하였다. 아마 처음 설치 되었을 때의 rev 버전과 향후..

hakawati
'Information Security/OpenSource' 카테고리의 글 목록 (4 Page)