2013年11月16日土曜日

マルウェア解析システム(Cuckoo 実践編)

★Cuckoo でマルウェア解析★

前回までで Cuckoo でマルウェア解析をする環境が整ったと思います。Cuckoo のマルウェア解析は次の手順です。
  1. Cuckoo を起動する。
  2. マルウェアを Cuckoo に送る。
  3. Web から Cuckoo で解析した結果を見る。


Cuckoo は一度起動しておけば、上の2・3を繰り返すだけです。では Cuckoo を起動してみます。

$ cd ~/cuckoo/
$ ./cuckoo.py

エラメッセージが出ず、起動できていればOKです。次にマルウェアを Cuckoo に送ってみます。送る方法はターミナルからコマンドを使う方法と、Webを使う方法があります。ここではコマンドを使う方法を紹介します。

$ ~/cuckoo/utils/submit.py マルウェア

1度、マルウェアを送ると1タスクとなります。複数のマルウェアを送った場合は、タスク順に処理されます。解析自体は数分で終わります。解析中に問題が発生した場合はエラーメッセージが表示されます。もしタイムアウトしてしまう場合はサンドボックスに問題があることが多いので、VirtualBox の設定を再度確認することをオススメします。

解析結果は Web から見ることができます。Cuckoo の起動だけでは Web の解析結果を見ることができないので、別のプログラムを起動します。

$ ~/cuckoo/utils/web.py

これで Ubuntu に 8080/tcp で接続すれば解析結果を見ることができます。今回の環境であれば、次の URL です。

http://192.168.1.2:8080/

Browse から解析結果を見ることができます。またHome からはマルウェアを送ることができます。
個人で Cuckoo を直接インターネットに公開する人はいないと思いますが、この Web 画面に認証はありません。情報の取り扱いには気をつける必要があります。

なお解析結果をデータベースに保存することもできます。データベースに保存する方法はここでは省略しますが、FFRI さんの記事で MongoDB を使う方法が紹介されており、参考になります。
ご家庭でできる簡単マルウェア自動解析システム(FFRI Blog)

データベースでなくとも、解析結果の一部はタスクごとに下記のディレクトリに保存されています。
$ ~/cuckoo/storage/analyses/
このディレクトリ以下にタスク番号ごとにログが保存されます。


★さいごに★

以上、全部で3つの記事を通して Cuckoo の環境を一から整えて解析するまでの手順を紹介しました。大事なことなので何度も書きますが、マルウェアや不審なファイルを取り扱うので作業は十分、注意しましょう。何が起こっても責任は持ちません。自己責任です。

それでは、よいマルウェア解析を!


★おまけ★

$ ./cuckoo.py -a
を実行すると、Cuckoo 起動時の AA を連続して表示することができます。