2013年11月16日土曜日

マルウェア解析システム(Cuckoo 説明編)

★Cuckoo とは★

マルウェアはたくさんあるので、1個1個を手で解析していくのは大変です。そこでマルウェアの解析を自動化し、どのような挙動をするのかざっと調べたくなりますね。そんな時に使うのが Cuckoo(カッコウ)です。

Cuckoo はサンドボックスでマルウェアを実際に実行し、どのような挙動をするのか調べてレポートしてくれます。例えば、ファイルの作成やレジストリの変更、どのような外部ホストへ接続しにいくか,などまとめてくれます。めっちゃ優秀です。
ただあくまでサンドボックスで実行するだけなので、 環境によってはマルウェアが動作しないこともあり、解析時間の都合上、完全に動作を把握することも難しいです。またサンドボックスとはいえ、実際にマルウェアを実行するわけなので、ファイルをきちんと管理し、ネットワーク環境を隔離するなど、取り扱いには十分、注意する必要があります。

このような欠点というか扱いが難しい部分もありますが、マルウェアの挙動を手っ取り早く知りたいという場合にはオススメです。


★Cuckoo インストールの前に★

まず Cuckoo をインストールする前に、インストールする環境を説明します。

  • Cuckoo をインストールする OS→Ubuntu 12.04.3 LTS(64bit) Desktop 版(以下、Ubuntu)
  • Cuckoo でマルウェアを実行する仮想 OS→Windows XP(以下、winxp)

Ubuntu に VirtualBox をインストールし、winxp を仮想端末として動作させます。この winxp がサンドボックスとなり、マルウェアを実行させる OS となります。

Ubuntu は公式サイトの FTP 等からダウンロードできます。winxp のような Windows は自分で用意してください。XP でなくともサンドボックスとして動作できるようなので、7 やその他、手持ちの OS を準備してください。

winxp の詳しい設定情報は後ほど説明しますが、先に環境ということでネットワーク設定を載せておきます。今回は次のような環境を想定します。
  • ネットワーク:192.168.1.0/24
  • GW:192.168.1.1
  • Ubuntu:192.168.1.2
  • winxp:192.168.1.3


winxp はネットワークアダプタをブリッジとして使用するので、ホストの Ubuntu と同じネットワークレンジの IP アドレスを割り当てます。

次回から実際にインストールを開始します。