SlideShare una empresa de Scribd logo

Cuckoosandbox

Descargar como PPTX, PDF
Tensor
Tensor

El documento describe el proyecto Cuckoo, un sandbox de análisis dinámico que permite analizar muestras de malware de forma aislada sin subirlas a servicios externos. Explica cómo instalar y configurar Cuckoo en Ubuntu con una máquina virtual de Windows, y cómo realizar análisis de muestras para obtener informes con la información sobre el comportamiento del malware.

Educación
1 de 38
Clase 4
 Muchos de nosotros habrás tenido ganas de poder realizar algún análisis de malware para saber que hacía algunas de las muestras que nos han llegado, bien por correo electrónico, bien la has encontrado en aquel pen drive que algún familiar nos dice "Toma copia estas fotos" y en el USB hay mas malware que fotos para copiar.  Si no has lidiado realizando un análisis dinámico de la muestra o bien, no tienes práctica ni tiempo, al final acabas subiendo la muestra aquellos servicios que ya conocemos, Virus Total Jottis, Threat Expert o similares.  Pero, y si por un momento ¿No queremos subir la muestra a este tipo de servicios? Por ejemplo nos encontramos en un caso en el que no puedes distribuir la muestra ya que estás investigando un caso y la muestra no puedes subirla a cualquier sitio. En ese caso y otros, para hacerte con una idea general de lo que hace la muestra y poder realizar perfectamente un análisis dinámico tenemos entre otros proyectos Cuckoo.  El proyecto se encuentra MUY vivo y se va actualizando añadiendo nuevos módulos al sandbox y nuevas versiones cada cierto tiempo. Además las últimas versiones se instalan en no mas de 10 minutos, no como las primeras, que tenías que lidiar realizando mas pasos.
 El sandbox se apoya en el sistema de virtualbox o vmware con un sistema windows instalado como cliente para poder realizar los análisis.  La estructura de Cuckoo es así:  Desde tu máquina enviarás tus muestras a los diferentes clientes que tengas configurados con Cuckoo para poder hacer los análisis pertinentes.
 La instalación mas sencilla es en Ubuntu, aunque el Bugtraq ya la trae por default.  Si miramos la documentación de Cuckoo, necesitaremos:  Python  Magic (Highly Recommended): for identifying files’ formats (otherwise use “file” command line utility)  Dpkt (Highly Recommended): for extracting relevant information from PCAP files.  Mako (Highly Recommended): for rendering the HTML reports and the web interface.  Pydeep (Optional): for calculating ssdeep fuzzy hash of files.  Pymongo (Optional): for storing the results in a MongoDB database.  Yara and Yara Python (Optional): for matching Yara signatures.  Libvirt (Optional): for using the KVM module.
 Algunos de los módulos se pueden instalar mediante:  sudo apt-get install python-magic python-dpkt python-mako python-pymongo
 En una máquina en VirtualBox. Tan solo que en la máquina Windows instalada deberemos de configurar ciertas cosas:  Pondremos en OFF, el cortafuegos de windows y también las actualizaciones. Esto nos evitará en el caso del análisis de las trazas de red que no nos molesten las actualizaciones de red. Y el firewall lo desactivamos para que el malware se pueda conectar libremente a donde quiera.
 Python, para poder ejecutar el agente en la máquina virtual. Además necesitaremos software vulnerable, es por eso que instalaremos el software que necesitemos.  Para versiones viejas de software, oldapps.
 Solo configuraremos opciones básicas de cuckoo para hacerlo funcionar. Recomiendo trabajar con los archivos de configuración y adaptarlo a nuestras necesidades.  Bajamos Cuckoo o de la siguiente captura como se muestra a continuación:  xxxxxxxxxxx:~/tools/malware:git clone git://github.com/cuckoobox/cuckoo.git  Cloning into 'cuckoo'...  remote: Counting objects: 6324, done.  remote: Compressing objects: 100% (2048/2048), done.  remote: Total 6324 (delta 4101), reused 6214 (delta 4017)  Receiving objects: 100% (6324/6324), 4.88 MiB | 124 KiB/s, done.  Resolving deltas: 100% (4101/4101), done.
 Ahora configuraremos varias cosas de Cuckoo para hacerlo funcionar:  Editamos el archivo cuckoo.conf:  xxxxxxx:~/tools/malware/cuckoo:nano conf/cuckoo.conf
 De aquí lo que tendremos que cambiar es:  # Specify the name of the machine manager module to use, this module will  # define the interaction between Cuckoo and your virtualization software  # of choice.  machine_manager = virtualbox
 # Enable or disable the use of an external sniffer (tcpdump) [yes/no].  use_sniffer = yes  # Specify the network interface name on which tcpdump should monitor the  # traffic. Make sure the interface is active.  interface = en0
 Si usamos otro sistema que no sea Virtualbox, lo cambiamos. En mi caso dejo Virtualbox.  Si recuerdas como requisito instalamos tcpdump, si queremos que se capture el tráfico de red con tcpdump, dejamos marcado yes.  En cuanto a la interfaz de red, esto es muy importante y ha dado varios problemas de que no haya funcionado la última versión de cuckoo.
 En la documentación oficial de Cuckoo, aconsejan usar vboxnet0. La máquina virtual configurada con esta extensión NO tendrá acceso a internet por lo tanto si estamos estudiando algún tipo de troyano bancario, o un dropper no podrá hacerse el análisis dinámico correcto al no contar con el tráfico de red.  Si queremos poner la red en modo vboxnet0, lo configuramos en Virtualbox
 En la máquina virtual especificamos que usaremos esa interfaz en concreto:
 El poner la red en vboxnet0 nos sirve para poder controlar las conexiones que realice la máquina virtual. En mi caso me da igual por lo tanto, dejo la máquina en brigde y asigno la interfaz de la máquina. En el caso del mac, en0.  Ahora configuramos otro archivo:  xxxxxx:~/tools/malware/cuckoo:nano conf/virtualbox.conf  [cuckoo1]  # Specify the label name of the current machine as specified in your  # VirtualBox configuration.  label = sandbox
 Specify the operating system platform used by current machine  # [windows/darwin/linux].  platform = windows  # Specify the IP address of the current machine. Make sure that the IP address  # is valid and that the host machine is able to reach it. If not, the analysis  # will fail.  ip = 192.168.1.113  Aquí especificamos el nombre que le hemos dado a la máquina virtual, la plataforma que usaremos y la dirección IP que tendrá la máquina virtual.
 Con la última versión de Cuckoo, lo que se necesita es un agente en python:  xxxxx:~/tools/malware/cuckoo:ls agent/  agent.py  El agente deberemos de colocarlo para que se inicie al arrancar Windows, o bien con una entrada del registro, o en la carpeta startup.
 En este momento pausamos la máquina. Posteriormente la apagamos la máquina.  Restauramos la máquina al snapshot con la máquina virtual parada.  Arrancamos Cuckoo:
 xxxx:~/tools/malware/cuckoo:python cuckoo.py  Por ejemplo como se muestra a continuación
 Cuckoo estará a la espera de que hagamos submit de una muestra:
 Cuckoo empezará el análisis de la máquina virtual  Una vez acabado podremos ver el resultado en la parte web de Cuckoo, arrancamos la parte web:  xxxxx:~/tools/malware/cuckoo/utils:python web.py  Bottle v0.11.dev server starting up (using WSGIRefServer())...  Listening on http://0.0.0.0:8080/  Hit Ctrl-C to quit.
 Desde la parte web podremos hacer un submit nuevo de una muestra, además de indicarle la prioridad.
 En el apartado Browse, encontraremos las muestras que ya hayamos subido.  Clicando en el MD5, encontraremos un report de la muestra:
 Información que nos arroja Cuckoo
 Podremos ver también la parte de red, y cambios a nivel de directorios.  Para saber mas del proyecto visitar:  http://www.cuckoosandbox.org/

Recomendados

Escaner
EscanerEscaner
Escaner
Tensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
Tensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Turbogears_Instalación
Turbogears_InstalaciónTurbogears_Instalación
Turbogears_Instalación
Natalia Martinez Ramos
 
Despliegue de aplicaciones PHP
Despliegue de aplicaciones PHPDespliegue de aplicaciones PHP
Despliegue de aplicaciones PHPAlicantePHP
 
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Magallanes, Herramienta de despliegue PHP sencilla y poderosa�Magallanes, Herramienta de despliegue PHP sencilla y poderosa�
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Fco Javier Núñez Berrocoso
 
02 instalación
02 instalación02 instalación
02 instalaciónRoberto Moreno Doñoro
 

Recomendados

Escaner
EscanerEscaner
Escaner
Tensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebas
Tensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandbox
Tensor
 
Turbogears_Instalación
Turbogears_InstalaciónTurbogears_Instalación
Turbogears_Instalación
Natalia Martinez Ramos
 
Despliegue de aplicaciones PHP
Despliegue de aplicaciones PHPDespliegue de aplicaciones PHP
Despliegue de aplicaciones PHPAlicantePHP
 
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Magallanes, Herramienta de despliegue PHP sencilla y poderosa�Magallanes, Herramienta de despliegue PHP sencilla y poderosa�
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Fco Javier Núñez Berrocoso
 
02 instalación
02 instalación02 instalación
02 instalaciónRoberto Moreno Doñoro
 
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Telefónica
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2
Telefónica
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014SandraMartinezG
 
Maitaining access
Maitaining accessMaitaining access
Maitaining access
Tensor
 
12integracion de tomcat con apache
12integracion de tomcat con apache12integracion de tomcat con apache
12integracion de tomcat con apacheMiguel Angel Lopez Torralba
 
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsDesarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los Servlets
Jon Vadillo Romero
 
Proyectos JAVA con maven
Proyectos JAVA con mavenProyectos JAVA con maven
Proyectos JAVA con maven
Juan Vladimir
 
Tema servlets
Tema servletsTema servlets
Tema servletssimeonhuamanchao
 
Instalacion de java
Instalacion de java Instalacion de java
Instalacion de java Geovanny Yungán
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESS
Tensor
 
Java
JavaJava
JavaAlexis Eduardo Verdesoto Arguello
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04
Nestux Alfonso Rincón Garcia
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
Chema Alonso
 
Laboratorio de netbeans sql server15-04-2013
Laboratorio de netbeans sql server15-04-2013Laboratorio de netbeans sql server15-04-2013
Laboratorio de netbeans sql server15-04-2013
saul1905
 
Framework
FrameworkFramework
Framework
chioortiz
 
Realidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapirRealidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapir
Agustín Hv
 
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphereVagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Javier Jerónimo Suárez
 
Gestión del software con Maven y Jenkins
Gestión del software con Maven y JenkinsGestión del software con Maven y Jenkins
Gestión del software con Maven y Jenkins
BEEVA_es
 
Present3
Present3Present3
Present3
Rafael Cornejo Martinez
 
Manualvirtualbox.pdf
Manualvirtualbox.pdfManualvirtualbox.pdf
Manualvirtualbox.pdf
xavieraranda11
 
Sallis Usb Hacks
Sallis Usb HacksSallis Usb Hacks
Sallis Usb Hacks
Cristian Borghello
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentestingakencito
 

Más contenido relacionado

La actualidad más candente

Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Telefónica
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2
Telefónica
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014SandraMartinezG
 
Maitaining access
Maitaining accessMaitaining access
Maitaining access
Tensor
 
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsDesarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los Servlets
Jon Vadillo Romero
 
Proyectos JAVA con maven
Proyectos JAVA con mavenProyectos JAVA con maven
Proyectos JAVA con maven
Juan Vladimir
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESS
Tensor
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04
Nestux Alfonso Rincón Garcia
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
Chema Alonso
 
Laboratorio de netbeans sql server15-04-2013
Laboratorio de netbeans sql server15-04-2013Laboratorio de netbeans sql server15-04-2013
Laboratorio de netbeans sql server15-04-2013
saul1905
 
Framework
FrameworkFramework
Framework
chioortiz
 
Realidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapirRealidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapir
Agustín Hv
 
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphereVagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Javier Jerónimo Suárez
 
Gestión del software con Maven y Jenkins
Gestión del software con Maven y JenkinsGestión del software con Maven y Jenkins
Gestión del software con Maven y Jenkins
BEEVA_es
 

La actualidad más candente (18)

Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2
 
Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014Programación web framework djando - noviembre de 2014
Programación web framework djando - noviembre de 2014
 
Maitaining access
Maitaining accessMaitaining access
Maitaining access
 
12integracion de tomcat con apache
12integracion de tomcat con apache12integracion de tomcat con apache
12integracion de tomcat con apache
 
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsDesarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los Servlets
 
Proyectos JAVA con maven
Proyectos JAVA con mavenProyectos JAVA con maven
Proyectos JAVA con maven
 
Tema servlets
Tema servletsTema servlets
Tema servlets
 
Instalacion de java
Instalacion de java Instalacion de java
Instalacion de java
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESS
 
Java
JavaJava
Java
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Laboratorio de netbeans sql server15-04-2013
Laboratorio de netbeans sql server15-04-2013Laboratorio de netbeans sql server15-04-2013
Laboratorio de netbeans sql server15-04-2013
 
Framework
FrameworkFramework
Framework
 
Realidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapirRealidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapir
 
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphereVagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
Vagrant para automatizar entornos DEV/PRO: VirtualBox y vSphere
 
Gestión del software con Maven y Jenkins
Gestión del software con Maven y JenkinsGestión del software con Maven y Jenkins
Gestión del software con Maven y Jenkins
 

Similar a Cuckoosandbox

Manualvirtualbox.pdf
Manualvirtualbox.pdfManualvirtualbox.pdf
Manualvirtualbox.pdf
xavieraranda11
 
Sallis Usb Hacks
Sallis Usb HacksSallis Usb Hacks
Sallis Usb Hacks
Cristian Borghello
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentestingakencito
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.
Ángel Sardinero López
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5davister
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01
pattala01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik Firewall
Vanesa Rodríguez Percy
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
JASENT
 
Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...
moviljuegosmil22
 
Componentes Ubuntu
Componentes UbuntuComponentes Ubuntu
Componentes UbuntuElvis Calle
 
Seguridad: Backtrack1_bis
Seguridad: Backtrack1_bisSeguridad: Backtrack1_bis
Seguridad: Backtrack1_bisFrancesc Perez
 
Auditoria de Seguridad Informatica
Auditoria de Seguridad InformaticaAuditoria de Seguridad Informatica
Auditoria de Seguridad Informatica
Alain Peña
 
Ubuntu
UbuntuUbuntu
Ubuntu
Vilmha Trujillo
 
Informe fase2 frank_gómez
Informe fase2 frank_gómezInforme fase2 frank_gómez
Informe fase2 frank_gómez
Michel Frank Gomez Useda
 
Nagios
NagiosNagios
Nagios
Alma Beltran
 
T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2
WilliamBeltran007
 
instalacion de windows 7 y vista
instalacion de windows 7 y vista instalacion de windows 7 y vista
instalacion de windows 7 y vista
amaya-021912
 
Proyecto 5 lucas vieira
Proyecto 5 lucas vieiraProyecto 5 lucas vieira
Proyecto 5 lucas vieiraLukinhaLA
 

Similar a Cuckoosandbox (20)

Present3
Present3Present3
Present3
 
Manualvirtualbox.pdf
Manualvirtualbox.pdfManualvirtualbox.pdf
Manualvirtualbox.pdf
 
Sallis Usb Hacks
Sallis Usb HacksSallis Usb Hacks
Sallis Usb Hacks
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik Firewall
 
PDIDTI-S7.pptx
PDIDTI-S7.pptxPDIDTI-S7.pptx
PDIDTI-S7.pptx
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
 
Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...
 
Componentes Ubuntu
Componentes UbuntuComponentes Ubuntu
Componentes Ubuntu
 
Seguridad: Backtrack1_bis
Seguridad: Backtrack1_bisSeguridad: Backtrack1_bis
Seguridad: Backtrack1_bis
 
Auditoria de Seguridad Informatica
Auditoria de Seguridad InformaticaAuditoria de Seguridad Informatica
Auditoria de Seguridad Informatica
 
Ubuntu
UbuntuUbuntu
Ubuntu
 
Informe fase2 frank_gómez
Informe fase2 frank_gómezInforme fase2 frank_gómez
Informe fase2 frank_gómez
 
Nagios
NagiosNagios
Nagios
 
T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2
 
instalacion de windows 7 y vista
instalacion de windows 7 y vista instalacion de windows 7 y vista
instalacion de windows 7 y vista
 
Proyecto 5 lucas vieira
Proyecto 5 lucas vieiraProyecto 5 lucas vieira
Proyecto 5 lucas vieira
 

Más de Tensor

Libertad
LibertadLibertad
Libertad
Tensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
Tensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
Tensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
Tensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
Tensor
 
Game maker
Game makerGame maker
Game maker
Tensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
Tensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
Tensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
Tensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
Tensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
Tensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
Tensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
Tensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
Tensor
 
Ondas em
Ondas emOndas em
Ondas em
Tensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
Tensor
 

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Último

El fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amorEl fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amor
Alejandrino Halire Ccahuana
 
Fase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcionalFase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcional
YasneidyGonzalez
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
DivinoNioJess885
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
sandradianelly
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
El Fortí
 
Mapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativaMapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativa
TatianaVanessaAltami
 
T3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdf
T3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdfT3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdf
T3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdf
eliecerespinosa
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
auxsoporte
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
20minutos
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
pablomarin116
 
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
EdwardYumbato1
 
Educar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdfEducar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdf
Demetrio Ccesa Rayme
 
CAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCION
CAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCIONCAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCION
CAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCION
MasielPMP
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
arleyo2006
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
Profes de Relideleón Apellidos
 
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptxCLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
LilianaRivera778668
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
LorenaCovarrubias12
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
Alejandrino Halire Ccahuana
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
CESAR MIJAEL ESPINOZA SALAZAR
 
Junio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividadesJunio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividades
cintiat3400
 

Último (20)

El fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amorEl fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amor
 
Fase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcionalFase 1, Lenguaje algebraico y pensamiento funcional
Fase 1, Lenguaje algebraico y pensamiento funcional
 
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIALCUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
CUENTO EL TIGRILLO DESOBEDIENTE PARA INICIAL
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
 
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdfFORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
FORTI-JUNIO 2024. CIENCIA, EDUCACION, CULTURA,pdf
 
Mapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativaMapa_Conceptual de los fundamentos de la evaluación educativa
Mapa_Conceptual de los fundamentos de la evaluación educativa
 
T3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdf
T3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdfT3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdf
T3-Instrumento de evaluacion_Planificación Analìtica_Actividad con IA.pdf
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
 
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024UNIDAD DE APRENDIZAJE DEL MES Junio 2024
UNIDAD DE APRENDIZAJE DEL MES Junio 2024
 
Educar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdfEducar por Competencias GS2 Ccesa007.pdf
Educar por Competencias GS2 Ccesa007.pdf
 
CAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCION
CAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCIONCAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCION
CAPACIDADES SOCIOMOTRICES LENGUAJE, INTROYECCIÓN, INTROSPECCION
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
 
Conocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del ArrabalConocemos la ermita de Ntra. Sra. del Arrabal
Conocemos la ermita de Ntra. Sra. del Arrabal
 
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptxCLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
CLASE N.1 ANÁLISIS ADMINISTRATIVO EMPRESARIAL presentación.pptx
 
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptxSemana 10-TSM-del 27 al 31 de mayo 2024.pptx
Semana 10-TSM-del 27 al 31 de mayo 2024.pptx
 
El fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docxEl fundamento del gobierno de Dios. Lec. 09. docx
El fundamento del gobierno de Dios. Lec. 09. docx
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
Junio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividadesJunio 2024 Fotocopiables Ediba actividades
Junio 2024 Fotocopiables Ediba actividades
 

Cuckoosandbox

  • 2.  Muchos de nosotros habrás tenido ganas de poder realizar algún análisis de malware para saber que hacía algunas de las muestras que nos han llegado, bien por correo electrónico, bien la has encontrado en aquel pen drive que algún familiar nos dice "Toma copia estas fotos" y en el USB hay mas malware que fotos para copiar.  Si no has lidiado realizando un análisis dinámico de la muestra o bien, no tienes práctica ni tiempo, al final acabas subiendo la muestra aquellos servicios que ya conocemos, Virus Total Jottis, Threat Expert o similares.  Pero, y si por un momento ¿No queremos subir la muestra a este tipo de servicios? Por ejemplo nos encontramos en un caso en el que no puedes distribuir la muestra ya que estás investigando un caso y la muestra no puedes subirla a cualquier sitio. En ese caso y otros, para hacerte con una idea general de lo que hace la muestra y poder realizar perfectamente un análisis dinámico tenemos entre otros proyectos Cuckoo.  El proyecto se encuentra MUY vivo y se va actualizando añadiendo nuevos módulos al sandbox y nuevas versiones cada cierto tiempo. Además las últimas versiones se instalan en no mas de 10 minutos, no como las primeras, que tenías que lidiar realizando mas pasos.
  • 3.  El sandbox se apoya en el sistema de virtualbox o vmware con un sistema windows instalado como cliente para poder realizar los análisis.  La estructura de Cuckoo es así:  Desde tu máquina enviarás tus muestras a los diferentes clientes que tengas configurados con Cuckoo para poder hacer los análisis pertinentes.
  • 4.  La instalación mas sencilla es en Ubuntu, aunque el Bugtraq ya la trae por default.  Si miramos la documentación de Cuckoo, necesitaremos:  Python  Magic (Highly Recommended): for identifying files’ formats (otherwise use “file” command line utility)  Dpkt (Highly Recommended): for extracting relevant information from PCAP files.  Mako (Highly Recommended): for rendering the HTML reports and the web interface.  Pydeep (Optional): for calculating ssdeep fuzzy hash of files.  Pymongo (Optional): for storing the results in a MongoDB database.  Yara and Yara Python (Optional): for matching Yara signatures.  Libvirt (Optional): for using the KVM module.
  • 5.  Algunos de los módulos se pueden instalar mediante:  sudo apt-get install python-magic python-dpkt python-mako python-pymongo
  • 6.  En una máquina en VirtualBox. Tan solo que en la máquina Windows instalada deberemos de configurar ciertas cosas:  Pondremos en OFF, el cortafuegos de windows y también las actualizaciones. Esto nos evitará en el caso del análisis de las trazas de red que no nos molesten las actualizaciones de red. Y el firewall lo desactivamos para que el malware se pueda conectar libremente a donde quiera.
  • 7.
  • 8.  Python, para poder ejecutar el agente en la máquina virtual. Además necesitaremos software vulnerable, es por eso que instalaremos el software que necesitemos.  Para versiones viejas de software, oldapps.
  • 9.
  • 10.  Solo configuraremos opciones básicas de cuckoo para hacerlo funcionar. Recomiendo trabajar con los archivos de configuración y adaptarlo a nuestras necesidades.  Bajamos Cuckoo o de la siguiente captura como se muestra a continuación:  xxxxxxxxxxx:~/tools/malware:git clone git://github.com/cuckoobox/cuckoo.git  Cloning into 'cuckoo'...  remote: Counting objects: 6324, done.  remote: Compressing objects: 100% (2048/2048), done.  remote: Total 6324 (delta 4101), reused 6214 (delta 4017)  Receiving objects: 100% (6324/6324), 4.88 MiB | 124 KiB/s, done.  Resolving deltas: 100% (4101/4101), done.
  • 11.
  • 12.  Ahora configuraremos varias cosas de Cuckoo para hacerlo funcionar:  Editamos el archivo cuckoo.conf:  xxxxxxx:~/tools/malware/cuckoo:nano conf/cuckoo.conf
  • 13.
  • 14.  De aquí lo que tendremos que cambiar es:  # Specify the name of the machine manager module to use, this module will  # define the interaction between Cuckoo and your virtualization software  # of choice.  machine_manager = virtualbox
  • 15.  # Enable or disable the use of an external sniffer (tcpdump) [yes/no].  use_sniffer = yes  # Specify the network interface name on which tcpdump should monitor the  # traffic. Make sure the interface is active.  interface = en0
  • 16.  Si usamos otro sistema que no sea Virtualbox, lo cambiamos. En mi caso dejo Virtualbox.  Si recuerdas como requisito instalamos tcpdump, si queremos que se capture el tráfico de red con tcpdump, dejamos marcado yes.  En cuanto a la interfaz de red, esto es muy importante y ha dado varios problemas de que no haya funcionado la última versión de cuckoo.
  • 17.  En la documentación oficial de Cuckoo, aconsejan usar vboxnet0. La máquina virtual configurada con esta extensión NO tendrá acceso a internet por lo tanto si estamos estudiando algún tipo de troyano bancario, o un dropper no podrá hacerse el análisis dinámico correcto al no contar con el tráfico de red.  Si queremos poner la red en modo vboxnet0, lo configuramos en Virtualbox
  • 18.  En la máquina virtual especificamos que usaremos esa interfaz en concreto:
  • 19.
  • 20.  El poner la red en vboxnet0 nos sirve para poder controlar las conexiones que realice la máquina virtual. En mi caso me da igual por lo tanto, dejo la máquina en brigde y asigno la interfaz de la máquina. En el caso del mac, en0.  Ahora configuramos otro archivo:  xxxxxx:~/tools/malware/cuckoo:nano conf/virtualbox.conf  [cuckoo1]  # Specify the label name of the current machine as specified in your  # VirtualBox configuration.  label = sandbox
  • 21.  Specify the operating system platform used by current machine  # [windows/darwin/linux].  platform = windows  # Specify the IP address of the current machine. Make sure that the IP address  # is valid and that the host machine is able to reach it. If not, the analysis  # will fail.  ip = 192.168.1.113  Aquí especificamos el nombre que le hemos dado a la máquina virtual, la plataforma que usaremos y la dirección IP que tendrá la máquina virtual.
  • 22.
  • 23.  Con la última versión de Cuckoo, lo que se necesita es un agente en python:  xxxxx:~/tools/malware/cuckoo:ls agent/  agent.py  El agente deberemos de colocarlo para que se inicie al arrancar Windows, o bien con una entrada del registro, o en la carpeta startup.
  • 24.
  • 25.  En este momento pausamos la máquina. Posteriormente la apagamos la máquina.  Restauramos la máquina al snapshot con la máquina virtual parada.  Arrancamos Cuckoo:
  • 26.  xxxx:~/tools/malware/cuckoo:python cuckoo.py  Por ejemplo como se muestra a continuación
  • 27.
  • 28.  Cuckoo estará a la espera de que hagamos submit de una muestra:
  • 29.
  • 30.  Cuckoo empezará el análisis de la máquina virtual  Una vez acabado podremos ver el resultado en la parte web de Cuckoo, arrancamos la parte web:  xxxxx:~/tools/malware/cuckoo/utils:python web.py  Bottle v0.11.dev server starting up (using WSGIRefServer())...  Listening on http://0.0.0.0:8080/  Hit Ctrl-C to quit.
  • 31.
  • 32.  Desde la parte web podremos hacer un submit nuevo de una muestra, además de indicarle la prioridad.
  • 33.
  • 34.  En el apartado Browse, encontraremos las muestras que ya hayamos subido.  Clicando en el MD5, encontraremos un report de la muestra:
  • 35.
  • 36.  Información que nos arroja Cuckoo
  • 37.
  • 38.  Podremos ver también la parte de red, y cambios a nivel de directorios.  Para saber mas del proyecto visitar:  http://www.cuckoosandbox.org/