1. Introduction 이번에 소개할 Cuckoo Sandbox의 기능은 볼라티리티(Volatility)이다. 볼라티리티는 파이썬으로 제작된 메모리 분석 프레임워크로 다양한 기능을 구현한 플러그인이 있으며, 사용자가 필요한 기능이 있으면 해당 기능에 대한 플러그인을 제작하여 사용할 수 있다. 볼라티리티에 관한 문서는 많으며, 이 주제에 대한 책도 많은 소개가 되어 있다. 국내에서는 포렌식 관점에서 작성된 도서들에서 이 도구에 대해 다루고 있다. Cuckoo Sandbox와 볼라티리티는 둘다 파이썬으로 제작되어서 쉽게 접합하여 사용한 것으로 파악된다. 볼라티리티의 기능을 구현시킨것은 Cuckoo 버전 1.0 부터이며, Cuckoo가 볼라티리티에 대한 언급은 0.4.1 버전부터 (문서 참조) 시작했다...
1. Introduction malcontrol은 악성코드 분석 웹 사이트로부터 오픈 데이터를 받아 관제하는 "Malware Control Monitor"라 불리는 프로젝트이다. 오픈 데이터 리스트는 다음 웹 사이트에서 받아온다. malwrphishtankurlqueryvirscanwebinspectordomainlistmalc0de 이 도구는 Node.js로 운영되고 mongodb를 사용하며, 설치는 npm으로 한다. npm은 Node Packaged Modules의 약자로 Node.js에서 사용되는 모듈을 패키지 형태로 모아놓은 도구이다. 2. Environment OS : Ubuntu 12.04 LTS 64bit on VirtualboxCPU : 4개MEM : 2048MBNode.js : v0.10..
1. Introduction 이번에 소개할 내용은 Cuckoo Sandbox의 api.py를 이용한 api기능 사용 방법이다. Cuckoo 1.0에서 제공하는 api.py는 REST API로 curl로 요청을 보내고 curl로 데이터를 받아 올 수 있다. REST API의 상세한 내용은 위키피디아에서 볼 수 있으며, Cuckoo가 agent 와의 통신에 사용하는 XML-RPC 프로토콜도 REST API로 분류할 수 있다. REST API를 통하면, 어떤 언어를 사용하는 시스템이든 결과값을 데이터베이스화 하여 출력할 수 있다는 장점이 있어 Cuckoo를 손 쉽게 기능화 할 수 있다. api.py를 사용하여 REST API를 이용하는 부분은 Cuckoo Documentation에 충분히 소개되어 있다. 이 ..
1. Intoruduction HPFClient는 Honeynet Project Feeds Client의 약자로 Honeynet Project 도구들에 의해 발생하는 로그들을 통합 관리 하는 Honeynet의 또 다른 프로젝트이다. 2013년에 열린 SIGINT13에서 Honeynet Project Friends 라는 이름으로 리네임하고 Real-Time Social Data-Sharing 컨셉아래 새롭게 발표했다. 영상1. SIGINT13에서 hpfriends 발표 Real-Time Social Data-Sharing 컨셉은 각각의 사용자들이 주변의 사용자들과 함께 채널을 공유할 수 있다. 또한, 채널에 따라 접근 권한을 가지며 복수개의 채널에 가입할 수 있기 때문에 보다 자연스럽게 소셜기능을 이용할 ..
1. Introduction 메타데이터(Metadata) 는 "데이터의 데이터"로 특정 데이터를 구조화된 데이터로 표현하여 추가적인 활용을 할 수 있도록 하는 것을 말한다. Cuckoo 0.3.2 버전부터 메타데이터를 사용하기 시작했으며, Cuckoo 1.0 에서는 메타데이터를 MMDef로 리네임하여 모듈을 제공하고 있다. MMDef는 Malware MetaData Exchange Format의 약자이다. 2. Installation Cuckoo 1.0이 제대로 설치되어 운영이 된다면 추가적으로 설치할 부분은 없다. 3. Configuration MMDef 설정 파일은 cuckoo/conf 디렉터리의 reporting.conf에서 설정할 수 있다. [mmdef]enabled = yes 4. Startin..
1. Introduction 미국 MITRE社의 프로젝트 중 MAEC(Malware Attribute Enumeration and Characterization)는 단순하게 표현하면 "악성코드 분석 결과에 대한 표준 언어" 라고 볼 수 있다. maec.mitre.org 에서 소개한 내용은 다음과 같다. MAEC는 악성코드의 행동, 인위적 구조(artifacts), 공격 패턴 등의 특성을 통해 인코딩 및 의사소통을 위한 높은 정확도의 정보를 가진 국제적인 범위에서 공공이 무료로 사용하는 표준화 된 언어이다. MAEC는 사람 대 사람, 사람 대 도구, 도구 대 도구 그리고 도구 대 사람이 악성코드에 대한 의사소통을 개선하기 위해 현재 악성코드를 설명하는데 있어 모호함과 부정확성을 제거하여, 시그니처에 대한 ..
Cuckoo Sandbox가 1.1로 릴리즈 되었습니다. Changelog- 정적 PE 분석에 imphash 추가- 웹 인터페이스에서 URLs로 검색 추가- 웹 인터페이스에서 PE imphash 검색 추가- 대기 중인 모든 시스템을 웹 인터페이스에서 볼 수 있도록 추가 - Django 웹 인터페이스에서 행위 카테고리(behavior category)에 필터링 추가- Django 웹 인터페이스에서 분석기 로그 추가- 작업과 관련된 스크린 샷을 검색 할 수 있는 REST API 추가- 작업과 관련된 PCAP을 검색 할 수 있는 REST API 추가- 데이터베이스 마이그레이션 유틸리티 추가- submit.py 유틸리티에서 원격 submission 기능 추가- 통계 생성을 위한 stats.py 유틸리티 추가- ..
1. Introduction cuckoo (여기서 사용한 cuckoo는 1.0버전이다.)에서 utils/web.py를 통해 웹 인터페이스를 이용할 수 있지만, web.py는 0.3 버전쯤 부터 시작된 오래된 인터페이스이다. 이 인터페이스는 단순한 형태를 가지고 있어 분석결과가 많은 경우 로드 시간이 오래걸리는 등 불편함이 존재한다. 이러한 불편함을 해소하기 위해 cuckoo 1.0 버전 부터는 단순한 설정과 설치만으로 MongoDB를 이용하여 파이썬 웹 프레임워크인 Django를 이용하여 좀더 효율적인 웹 인터페이스를 운영할 수 있다. utils/web.py web/manager.py 2. Installation Django와 MongoDB를 설치해야한다.$ sudo apt-get install mong..
