Como fazer uma análise de malvware via automação usando o Cuckoo Sandbox

Como fazer uma análise de malvware via automação usando o Cuckoo Sandbox

 

Se você se interessa por análise de malware em algum momento deve ter se deparado com ferramentas de análise de malware automatizadas como Virustotal, FireEye, Anubis, Payload-security, malwr, entre outras. Entre todas estas você também deve ter ouvido falar do Cuckoo Sandbox. Uma sandbox automatizada open source.

Toda a análise de malware pode ser automatizada de uma forma simples com o Cuckoo. Veja abaixo algumas funcionalidades da ferramenta:

  • Análise automática em múltiplas VMs
  • Identificação de tipo de arquivo
  • Geração e comparação de Hashs MD5, SHA1, SHA256 e SHA512 com banco de dados
  • Envio de amostra para análise no VirusTotal
  • Identificação de assinatura
  • Screenshots de modificações no sistema infectado
  • Informações de versão e compilação
  • Sessões do arquivo
  • Imports realizados e chamadas a DDLs
  • Strings
  • Arquivos baixados pelo artefato
  • Análise de rede
  • Processos envolvidos
  • Análise com Volatility

 

O que você irá precisar

  • Cuckoo Sandbox: O Cuckoo pode ser baixado pelo Github.
  • Dezenas de dependências, plugins e softwares: Não vou focar aqui na instalação do cuckoo já que pode variar de acordo com sistema operacional host, plugins e utilitários instalados. Para mais informações sobre instalação você pode consultar a documentação oficial, este tutorial específico (caso use macOS), ou utilizar uma distro linux com o Cuckoo previamente instalado como a BugTraq. Atenção: O sistema que o Cuckoo vai ser instalado não pode ser uma VM, já que ele irá gerenciar e rodar outras VMs dentro dele. Você precisa instalar ele diretamente no HD. VM dentro de VM não é uma boa idéia.
  • Software de virtualização: O padrão do Cuckoo é o Virtualbox mas também é possível configurar VMWare e outros.
  • Máquinas virtuais: Diversas VMs, com diversos SOs, diversas versões, diversos softwares instalados em cada uma, com versões vulneráveis e versões atualizadas, etc, vai da sua disponibilidade de recurso e criatividade. Importante: Utilize as VMs no modo Host-only e crie roteamento no host para elas sairem para internet para o Cuckoo poder interceptar e analisar o tráfego de rede.
  • Snapshot das VMs: Assim que tudo estiver instalado em cada VM salve um snapshot para poder voltar caso um artefato danifique o sistema ou algo muito errado aconteça.
  • Cuckoo Agent: Após tudo configurado coloque o agente do Cuckoo nas VMs. O agente pode ser encontrado na pasta de instalação do Cuckoo no host.

 

Assim que tiver tudo isso (bastante coisa mesmo) e nada ter dado errado no download e instalação, precisamos apenas verificar algumas configurações e tudo vai estar pronto para começar a analisar malwares.

cuckoo.conf

 

Neste arquivo temos algumas configurações que devem ser verificadas, como por exemplo o IP do host para enviar os logs, diretórios temporários e de relatório, tamanho de arquivo, etc. Caso use Virtualbox todas as configurações aqui podem ser as default. Interfaces para as VMs sairem para a internet também são setadas aqui. O virtualizador utilizado deve ser informado neste arquivo (default: virtualbox).

 

virtualbox.conf (ou outro .conf do virtualizador que escolher utilizar)

 

Neste arquivo temos diversas coisas para verificar, algumas destas são o diretório da ferramenta de virtualização, a interface virtual do virtualizador, o IP da VM, plataforma, quantidade de VMs e seus respectivos nomes, nomes dos snapshots para o qual a VM será revertida ao final da análise, entre outos.

 

Uso

Agora sim, com tudo instalado e configurado podemos começar a usar o Cuckoo Sandbox. Você pode utiliza-lo de duas formas: Via interface web ou via linha de comando.

Via interface web a utilização é bem simples, similar a outras ferramentas de análise de malware já citadas. Um campo para inserir o artefato a ser analisado e um botão para iniciar a análise. Também tem a disposição um dashboard com informações de análises anteriores, relatórios e configurações da ferramenta você também pode trocar paysafecard por bitcoin usando esse site: paysafecard to bitcoin para fazer isso.

Para utilizar o Cuckoo pelo terminal é necessário 3 abas do terminal, uma para inicializar o virtualizador, uma para inicializar o Cuckoo e uma para submeter os artefatos. Para submeter os artefatos utilize o script python disponível na pasta “utils”, dentro da pasta de instalação do Cuckoo.

Assim que a análise for concluída o Cuckoo vai gerar um relatório em html ou outro formato definido no .conf similar ao relatório da imagem abaixo:

 

E este é o funcionamento básico do Cuckoo!

Depois de entender como ele funciona você pode modificar e customizar algumas coisas, como novas bases de assinaturas e adicionar outros plugins para analisar ou automatizar funções.

Espero que este pequeno artigo seja útil.

Caso tenha alguma dúvida ou problema nos procure no Grupo do Facebook ou no Grupo de Telegram!

Divirta-se analisando malware! 😀

Leave a Reply

Your email address will not be published. Required fields are marked *