프로젝트 (Project)/Cuckoo Sandbox를 이용한 악성코드 다중 동적분석 기능 개발
Cuckoo sandbox 에서 최신 Yara rule 설치법
http://virustotal.github.io/yara/ YARA - The pattern matching swiss knife for malware researchers YARA in a nutshell YARA is a tool aimed at (but not limited to) helping malware researchers to identify and classify malware samples. With YARA you can create descriptions of malware families (or whatever you want to describe) based on textual or binary pa virustotal.github.io https://github.com/vir..
프로젝트 (Project)/Cuckoo Sandbox를 이용한 악성코드 다중 동적분석 기능 개발
Cuckoo sandbox를 이용한 악성코드 샘플, 분석 파일
https://asec.ahnlab.com/ko/28094/ ASEC 주간 악성코드 통계 ( 20211018 ~ 20211024 ) - ASEC BLOG ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 10월 18일 월요일부터 2021년 10월 24일 일요일까지 수집된 한 asec.ahnlab.com ASEC 주간 악성코드 리포트에서 밝힌 상위 10개 이내의 악성코드 종류로 수집함 - AgentTesla : 5개 - formbook : 5개 - lokibot : 5개 - ransomware : 5개 - tofsee : 5개 악성코드 첨부파일 https://drive.google.com/file/d/17C..
프로젝트 (Project)/Cuckoo Sandbox를 이용한 악성코드 다중 동적분석 기능 개발
Ubuntu 에서 Cuckoo Sandbox 설치 + 설정 + 악성코드 테스트
설치는 VMware를 이용해 Ubuntu 64비트(20.04) 운영체제에서 진행한다. 전체적인 과정은 다음과 같다. 시간이 꽤 걸릴 수 있다! Ubuntu 설치 -> Cuckoo Sandbox 설치 -> Virtualbox 설치 -> 가상머신 설치 -> 설정 변경 -> 테스트 * 설치하는 과정에서 예상하지 못한 오류가 발생하거나 설정이 꼬일 수 있으므로 스냅샷을 단계별로 찍는 것이 좋다. 용량이 문제라면 핵심 스냅샷이라도 꼭 남겨야한다. (예: 1.우분투 설치완료, 2.쿠쿠 설치완료, 3.버츄어박스 설치완료) 설정이 꼬여서 처음부터 우분투를 설치하는 본인의 모습을 보면 현타가 올 수 있다. 진짜로 Ubuntu 설치 VMware에서 Ubuntu를 설치하면 된다. 설치하는 방법은 크게 어렵지 않으므로 (구글..
프로젝트 (Project)/Cuckoo Sandbox를 이용한 악성코드 다중 동적분석 기능 개발
Cuckoo Sandbox 작동 확인용 악성코드 샘플
cuckoo 정상 작동을 확인하기 위한 악성코드 샘플 파일(.exe 포맷) 이다. 해당 파일은 악성코드 파일이므로 절대 실행하지 말 것
프로젝트 (Project)/Cuckoo Sandbox를 이용한 악성코드 다중 동적분석 기능 개발
우분투 cuckoo 설치 명령어 쉘
home 디렉토리에 가져온 뒤 터미널에서 sh cuckoo.sh 식으로 사용
프로젝트 (Project)/Cuckoo Sandbox를 이용한 악성코드 다중 동적분석 기능 개발
우분투(Ubuntu)에서 도커(Docker) 설치
도커(Docker)는 프로그램들을 컨테이너 안에 배치하는 일들을 자동화시키는 오픈 소스 프로젝트이다. 아래 명령어들을 한 줄씩 입력해 설치한다. sudo apt update sudo apt install apt-transport-https ca-certificates curl software-properties-common curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu bionic stable" sudo apt update apt-cache policy docker-c..
