Ubuntu安装布谷鸟沙盒

   日期:2020-07-11     浏览:126    评论:0    
核心提示:Ubuntu安装布谷鸟沙盒布谷鸟沙箱介绍电脑配置首先更换源安装cuckoo的依赖guest(客户机)配置配置cuckoo布谷鸟沙箱介绍布谷鸟沙箱简单来说就是建立一个完全隔离的虚拟机,虚拟机的网卡是自己操控的电脑给予虚拟机的一个网卡,这样虚拟机的所有的对外信息我们进行拦截并进行分析,一般是进行病毒文件的分析来得出病毒的基本的行为。所以我们在建立虚拟机中要注意对网络的配置电脑配置本机 :win10最新版虚拟化软件:VMware 15安装布谷鸟沙盒的靶机 :Ubuntu 16.03布谷鸟中的靶机:w

Ubuntu安装布谷鸟沙盒

    • 布谷鸟沙箱介绍
    • 电脑配置
    • 首先更换源
    • 安装cuckoo的依赖
    • guest(客户机)配置
    • 配置cuckoo

布谷鸟沙箱介绍

布谷鸟沙箱简单来说就是建立一个完全隔离的虚拟机,虚拟机的网卡是自己操控的电脑给予虚拟机的一个网卡,这样虚拟机的所有的对外信息我们进行拦截并进行分析,一般是进行病毒文件的分析来得出病毒的基本的行为。所以我们在建立虚拟机中要注意对网络的配置

电脑配置

本机 :win10最新版
虚拟化软件:VMware 15
安装布谷鸟沙盒的靶机 :Ubuntu 16.03
布谷鸟中的靶机:win xp(中文版)

首先更换源

Ubuntu更换阿里源

sudo gedit /etc/apt/sources.list
deb-src http://archive.ubuntu.com/ubuntu xenial main restricted
deb http://mirrors.aliyun.com/ubuntu/ xenial main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-updates main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates universe
deb http://mirrors.aliyun.com/ubuntu/ xenial multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-updates multiverse
deb http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-backports main restricted universe multiverse
deb http://archive.canonical.com/ubuntu xenial partner
deb-src http://archive.canonical.com/ubuntu xenial partner
deb http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted
deb-src http://mirrors.aliyun.com/ubuntu/ xenial-security main restricted multiverse universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-security universe
deb http://mirrors.aliyun.com/ubuntu/ xenial-security multiverse

之后sudo apt-get update和sudo apt-get upgrade

安装cuckoo的依赖

cuckoo有很多的依赖,安装最主要的放在后面详细解释

sudo apt-get install git mongodb libffi-dev build-essential python-django python python-dev python-pip python-pil python-sqlalchemy python-bson python-dpkt python-jinja2 python-magic python-pymongo python-gridfs python-libvirt python-bottle python-pefile python-chardet tcpdump -y
无法安装出现设备锁去reboot(这里我换源完进行update和uppgrade,之后重启可以正常下载)


tcpdump(进行数据的信息的收集的)

sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

然后

getcap /usr/sbin/tcpdump

如果输出:/usr/sbin/tcpdump = cap_net_admin,cap_net_raw+eip则表示已正确安装(如下图)

安装pydeep
这个可能会比较难下,文件会传到群里。

sudo wget http://sourceforge.net/projects/ssdeep/files/ssdeep-2.13/ssdeep-2.13.tar.gz/download -O ssdeep-2.13.tar.gz

然后解压目录,进入ssdeep的文件(终端)然后

sudo ./configure   、sudo make  、sudo make install


然后ssdeep -V和 pip show pydeep看看安装是否成功



这样代表安装成功

建议添加快照,防止之后出错。
安装Volatility
pip下载速度慢可以在指令后面加上(这里可能需要你进行sudo pip install --upgrade pip)进行更新,建议这里加上快照,防止因为版本不兼容导致出错。

-i https://pypi.douban.com/simple/

安装依赖

sudo pip install openpyxl ujson pycrypto distorm3 pytz

我这里pip先升级

之后安装显示成功。

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
sudo python setup.py build
sudo python setup.py install

这里建议用群里的配置文件移动到虚拟机中进行安装
确认volatility安装无误
python vol.py -h
之后会出现vol的版本,如果之后跟着什么fail的提示信息建议返回快照重新下载,成功样子如下。


如果我箭头的位置上出现的是fail之类的指令,建议返回快照重装或者百度。

开始安装cuckoo
先安装一些依赖

sudo apt-get install libtiff5-dev libjpeg8-dev zlib1g-dev libfreetype6-dev liblcms2-dev libwebp-dev tcl8.6-dev tk8.6-dev python-tk


之后pip安装,想加速的看上面(建议在这里加快照,下面小心踩坑)

sudo pip install -U cuckoo


这里有两种情况,我自己是没有.cuckoo文件的,但是还是把两个情况发出来

在ubuntu文件夹下按住ctrl+h查看是否有./cuckoo这个文件,没有的话执行下面语句
cd /home/username/.local/bin/ #注意这里的username是你的Ubuntu用户名
而我这里是在这个目录下找到的,各位自己看自己的配置。

python cuckoo

执行完毕后,测试能否打开cuckoo

这样代表成功

cd /home
cuckoo -d
复制方便启动
sudo cp  /home/(username)/.local/bin/cuckoo  /usr/local/bin

cuckoo -d 启动,如果出现下面这种情况则证明安装成功但是需要配置。

或者出现errro 99:的情况也代表安装成功,但是需要配置文件。

guest(客户机)配置

安装virtualbox6.0

cat /etc/lsb-release

打开/etc/apt/sources.list添加

deb https://download.virtualbox.org/virtualbox/debian xenial contrib

这里有个坑就是,我复制进去几次都不成功老是报错说我添加的这一行有问题,然后我修改了后面连接出的空格,重新打了一次就好了。。。

添加公钥

wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -
wget -q https://www.virtualbox.org/download/oracle_vbox.asc -O- | sudo apt-key add -


更新

sudo apt-get update


安装

sudo apt-get install virtualbox-6.0


安装时可能会很慢,建议耐心等待。

之后启动virtualbox,记得sudo启动,因为cuckoo是root权限,所以如果是非root权限的virtualbox,对于cuckoo来说是无法进行监听的。


建议箭头处的名字改为“cuckoo1”这样方便之后的virtualbox.conf的修改,也方便之后cuckoo之后的启动,我这里由于是其他名字,virtualbox.conf也修改了,但是启动还会有问题,找了好久才找到解决方案,建议直接命名cuckoo1,之后安装镜像,记得修改启动设置

然后记得导入盘片

然后启动

之后一路安装,记得关闭自动更新和防火墙
完毕之后设置网卡

网卡ip 192.168.56.1
这里需要设置VMware的网络

点击虚拟网络编辑器,将其设置成这样

然后设置guest的网络

之后在设置中进行Ubuntu的网络设置

设置成这样

配置完网络记得重启网络。
重启网络的方法就是在ubuntu的设置中进入网络,在有线连接中点击两下开启,即完成网络的重启。
之后转发IP

sudo -i
sysctl -w net.ipv4.ip_forward=1
echo 1 > /proc/sys/net/ipv4/ip_forward
gedit /etc/sysctl.conf #去掉net.ipv4.ip_forward=1 前的#号,保存
sysctl -p /etc/sysctl.conf

配置iptables

iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.2.0/24 -m conntrack --ctstate NEW -j ACCEPT
 iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
sudo gedit /etc/network/interfaces

添加

pre-up iptables-restore < /etc/iptables.rules 
post-down iptables-save > /etc/iptables.rules

记得指令在sudo情况下运行!!!!

此时Ubuntu主机就不能访问网页了,但是ping 8.8.8.8的话是可以ping通的,因此肯定是DNS出了问题,但是不影响,可以先不管。
如果非要管的话也行,终端输入sudo gedit /etc/resolv.conf
将nameserver 127.0.0.53 改为nameserver 114.114.114.114,保存,就可以访问网页了,但是千万不能重启网络,这样的话又会变成127.0.0.53了
这时我们需要下载python 2的安装包和pil的安装包

进行guest的配置(python、PIL、agent.py)
1.在Ubuntu环境中home下新建一个share文件夹, 将 .cuckoo/agent/agent.py复制进去,然后在share打开终端下载python2.7和PIL,记得是sudo!!!

wget https://www.python.org/ftp/python/2.7.13/python-2.7.13.msi
wget http://effbot.org/media/downloads/PIL-1.1.7.win32-py2.7.exe

2.安装virtualbox增强功能,主要是为了能够在virtualbox中共享文件夹

改启动顺序

移除磁盘

将新的放进去

进入xp虚拟机的我的电脑,可以看到下面多了一个网络驱动器,点进去就能看见共享的文件了,先安装python2.7后安装PIL。
重点!!!配置agent
把 agent.py 后缀改成 agent.pyw
将agent.pyw复制到C:\Python27\文件夹下,双击运行(是没有任何反应的)
打开cmd,输入netstat -an,查看本地8000端口是否在监听
如果8000端口正在监听,那说明此xp虚拟机就能被cuckoo所调用。

注意,这个agent不是开机自启动,每次使用记得点击agent。

配置cuckoo

配置cuckoo
cuckoo配置文件是非常重要的!!!

在 .cuckoo/conf/中修改配置文件:

cuckoo.conf:
machinery = virtualbox
[resultserver]
ip = 192.168.2.1 #This is the IP address of the host
port = 2042 #leave default unless you have services running

auxiliary.conf:

[sniffer]
enabled = yes
#Specify the path to your local installation of tcpdump. Make sure this
#path is correct.
tcpdump = /usr/sbin/tcpdump

virtualbox.conf:

machines = cuckoo1
[cuckoo1] 它默认写的是cuckoo1
label = cuckoo1
platform = windows
ip = 192.168.2.101 # IP address of the guest
snapshot = snapshot1
interface = vboxnet0

reporting.conf:

[mongodb]
enabled = yes

之后建议重启,然后打开终端,输入

sudo cuckoo -d

没有错误的话就

sudo cuckoo web runserver

如果cuckoo -d出现错误一般是两种情况:
一:agent未启动,导致cuckoo无法连接guest。
二: 网络未配置完全或者是virtualbox.conf配置错误。

具体错误建议看这篇文章
cuckoo错误解决方法

之后在浏览器输入127.0.0.0:8000进入界面即可使用,使用方法如下
cuckoo使用方法
PS:如果报文返回是 cuckoo not reply yet ,就是agent未启动,建议配置,cuckoo的启动成功是会出现以下界面的

最后祝大家安装成功。

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服