Análisis automático de malware con Cuckoo II

Hace unos días explicaba como te podías instalar tu propia Sandbox de análisis de malware.

Espero que si o habéis intentado os haya salido bien ;) .

En esta parte lo que haremos será subir muestras a Cuckoo para que las analice.

Antes de empezar quiero explicar una cosa que no queda del todo claro. Hay que entender que Cuckoo es como un Daemon es decir, lo hemos de dejar ejecutándose, y subir los binarios o URL para que Cuckoo las vaya analizando.

Para empezar, nos vamos al PATH, donde tenemos Cuckoo y ejecutamos:

python cuckoo.py

Por pantalla podremos ver algo así:

Ahora Cuckoo cuando lanzemos las tareas de análisis nos irá mostrando por pantalla que va haciendo. Además si por o que fuera tuviéramos algún error nos lo mostraría por pantalla.

Escogemos un binario cualquiera a analizar y se lo pasamos como parámetro al submit de cuckoo, así:

python submit.py troyano.exe

En Cuckoo veremos cosas como:

Cuckoo irá realizando las tareas una por una, hasta acabar.

Cuando acaba, nos genera un reports  en varios formatos que podremos consultar mas tarde.

Para verlo hará falta arrancar la parte web, ejecutamos:

python web.py

Si no queremos arrancarlo en localhost se le puede pasar como parámetro -t IP -p PUERTO

La web tiene este aspecto:

Si queremos ver un report en concreto, clicamos sobre el MD5 que queramos ver y podemos ver un resumen del binario analizado.

El report está detallado, en conexiones de red, características del binario etc… Además te realiza pantallazos para que puedas ver que ocurre.

Cuckoo también es capaz de analizar URL, para ello debemos de pasarle lo siguiente:

python submit.py -u URL_MALICIOSA -p ie

Con esto, Cuckoo abrirá esta URL con Internet Explorer y por ejemplo capturará si se baja algún binario o se crean archivos adicionales.

Como véis Cuckoo ofrece bastante versatilidad como herramienta de análisis de malware.

En próximas entradas añadiremos nuevas features y comprobaremos casos curiosos