Cuckoo – Analyser un lot de malwares

Avec Cuckoo Sandbox, vous allez voir qu’il est très simple d’analyser tout un lot de malwares.

Il est recommandé d’avoir un PC puissant, une quantité suffisante de mémoire, et un peu de place sur son disque dur.

Ce post fait suite à celui détaillant l’installation de cuckoo.


Dans un premier temps, nous allons optimiser un peu l’analyse.

Paralléliser l’analyse

Cuckoo c’est bien, mais ce n’est pas ce qu’il y a de plus rapide, on se rend vite compte que l’analyse d’un seul fichier peut durer plusieurs minutes.
Il est donc intéressant d’utiliser plusieurs machines virtuelles.

Relancez virtualbox, pour rappel il suffit de faire :

sudo chroot /srv/chroot/cuckoo_chroot
su cuckoo
virtualbox&

Faites un clique droit sur votre machine puis clôner. Clône intégral de l’état actuel.

Démarrer votre nouvelle machine, puis modifier son adresse IP en 192.168.56.102. (changer le dernier octet pour chaque machine)

Configuration réseau clone machine virtuelle

Enfin, redémarrez votre machine virtuelle puis prenez un instantané.

Recommencez cette manipulation pour chaque nouvelles machines.

Maintenant, éditons le fichier virtualbox.conf situé dans le dossier conf de cuckoo.

Ajoutez vos machines :

machines = cuckoo1,cuckoo2,cuckoo3,cuckoo4

Pour chacune, créez une section :

[cuckoo2]
# Specify the label name of the current machine as specified in your
# VirtualBox configuration.
label = cuckoo2

# Specify the operating system platform used by current machine
# [windows/darwin/linux].
platform = windows

# Specify the IP address of the current machine. Make sure that the IP address
# is valid and that the host machine is able to reach it. If not, the analysis
# will fail.
ip = 192.168.56.102

Analyse

Il vous faut maintenant récupérer des fichiers à analyser et les mettre dans le répertoire de l’utilisateur cuckoo (en faisant toujours attention aux droits, ne pas hésiter à utiliser la commande chown).

Avant de commencer, si votre PC a tendance à chauffer, il peut être bon de limiter cuckoo et virtualbox (en terme de ressources utilisées). On peut utiliser cpulimit pour ça. Les commandes sont à adapter à votre configuration (voir explications)

cpulimit --path=/usr/bin/python --limit 15&
cpulimit --path=/usr/bin/virtualbox --limit 15&

Nous sommes prêt, allez dans le répertoire de cuckoo.
Si vous avez déjà lancé des analyses, vous pouvez les effacer avec la commande :

./utils/clean.sh

Pour lancer l’analyse :

python cuckoo.py&
./utils/submit.py /dossier/avec/vos/malware

Les fichiers sont ajoutés à une file d’attente, les machines virtuelles se lancent et s’éteignent automatiquement.

Cuckoo file d'attente

Cuckoo fonctionnement normal

Et le résultat final.

Dossier résultat analyse lot de malware

Il ne vous reste plus qu’à analyser tous ces rapports 🙂

Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici

3 thoughts on “Cuckoo – Analyser un lot de malwares

  1. Pingback: Cuckoo Sandbox – Installation | Security-X

  2. Pingback: Analyse de malwares avec Cuckoo | Security-X

  3. Pingback: Cuckoo – Traiter le résultat avec Gephi | Security-X

Comments are closed.