インストール - JPCERTCC/MalConfScan-with-Cuckoo GitHub Wiki
1.MalConfScanのインストール
2.MalConfScan-with-Cuckooのインストール
MalConfScan と MalConfScan-with-Cuckoo のインストール は
virtualenvのPython仮想環境下で行うことを推奨します。
1. MalConfScanのインストール
以下のページを参考にMalConfScan を Cuckoo サーバへインストールする。
GitHub - JPCERTCC/MalConfScan - インストール
2. MalConfScan-with-Cuckooのインストール
MalConfScan-with-Cuckoo のインストール手順は以下のドキュメントを参考にして作成してます。
Development with the Python Package | Cuckoo Sandbox Docs
2.1. MalConfScan-with-Cuckoo のリポジトリを GitHub からクローン
$ git clone https://github.com/jpcertcc/malconfscan-with-cuckoo.git
2.2. Cuckoo(v2.0.6) のリポジトリを GitHub からクローン
$ git clone -b 2.0.6 https://github.com/cuckoosandbox/cuckoo.git
2.3. クローンした Cuckoo のリポジトリにパッチを適用
Cuckoo で MalConfScan を使えるようにパッチを適用します。
Cuckoo のリポジトリルートへ移動
$ cd cuckoo
malconfscan.patch でCukcooにパッチ適用
$ patch -p1 < ../MalConfScan-with-Cuckoo/malconfscan.patch
2.4. Cuckooをインストールするために必要なパッケージをインストールします。
以下のCuckooの公式ドキュメントを参考に進めてください。
Requirements | Cuckoo Sandbox Docs
2.5. Cuckooのインストール
Cuckooのリポジトリルートへ移動
$ cd [git-root-of-Cuckoo]
Cuckooのインストール実行
$ python stuff/monitor.py
$ python setup.py sdist develop
2.6. Cuckoo Working Directory を作成します
$ cuckoo --cwd /opt/cuckoo
Cuckoo Working Directoryの詳細は以下の公式ドキュメントを参照ください。
Create Cuckoo Working Directory | Cuckoo Sandbox Docs
2.7. MalConfScan-with-Cuckoo の設定
以下通り、Cuckooの設定ファイルを編集することで MalConfScan-with-Cuckoo を使用できるようになります。
MalConfScan プラグインの有効化
- /opt/cuckoo/conf/memory.conf
[malconfscan] enabled = yes filter = no
メモリイメージの分析を有効化
- /opt/cuckoo/conf/processing.conf
[memory] # Create a Memory dump of the entire Virtual Muchine. This memory dump will # then be analyzed using Volatility to locate interesting events that can be # extract from memory. enabled = yes
サンドボックスのホストOSのプロファイル設定
サンドボックスのホストOSのプロファイルを以下のVolatility公式ドキュメントから選択し、設定します。
Profile List | Volatility wiki - GitHub
- /opt/cuckoo/conf/[your_vm_software].conf
osprofile = [your_sandbox_machine's_OS_profile]
または、
- /opt/cuckoo/conf/memory.conf
[basic] # profile to avoid wasting time identifying it guest_profile = [your_sandbox_machine's_OS_profile]
2.8. その他の設定
Cuckooに関わる以降の設定については、Cuckooの公式ドキュメントを参考にしてください。