使用方法 - JPCERTCC/MalConfScan-with-Cuckoo GitHub Wiki

Cuckoo サーバを起動し、分析したい検体をサーバへ登録します。

1. サーバ起動

1.1. Cuckoo起動

$ cuckoo --cwd /opt/cuckoo

1.2. CuckooのWebインターフェースの起動

$ cuckoo --cwd /opt/cuckoo web runserver 0.0.0.0:7777

2. 検体の登録

2.1. Webインターフェースから検体を登録

Webインターフェースから検体を登録します。

cuckoo-web-submit

2.2. CLIから検体を登録

$ cuckoo submit /path/to/binary

検体の登録方法の詳細についてはCuckoo公式ドキュメントを参照ください。

Submit an Analysis | Cuckoo Sandbox Docs

3. 分析結果の確認

MalConfScanでスキャンし、メモリイメージから既知のマルウエア確認されると、画面に結果が表示されます。

3.1. Webインターフェースから結果の確認

  1. VM Memory Dump アイコンをクリック

cuckoo-web-report-step1

  1. MalConfScan タブをクリック

cuckoo-web-report-step2

3.2. JSON形式で結果を確認

以下 Cuckoo Working Directory のパスにJSON形式で結果が保存されます。

/opt/cuckoo/storage/analyses/[analysis number]/report/report.json

以下のサンプルデータ(report.json)は TSCookie を分析した結果になります。

...snip...
"malconfscan": {
    "data": [
        {
            "malconf": [
                [
                    {"Server 0": "jpcert.ignorelist.com"},
                    {"Server 0 (port 1)": "443"},
                    {"Server 0 (port 2)": "0"},
                    {"Server 1": "jpcerts.jpcertinfo.com"},
                    {"Server 1 (port 1)": "443"},
                    {"Server 1 (port 2)": "80"},
                    {"Server 2": "45.76.102.145"},
                    {"Server 2 (port 1)": "443"},
                    {"Server 2 (port 2)": "0"},
                    {"ID": "A\u0000v\u00003\u0000-\u0000l"},
                    {"KEY": "2455402077"},
                    {"Sleep time": "56"}
                ]
            ],
            "vad_base_addr": "0x03997696", 
            "process_name": "64174c53199de5242b59a3bbe1b326de.exe",
            "process_id": "2764", 
            "malware_name": "TSCookie", 
            "size": "0x00065536"
        }
    ]
},
...snip...