setodaNote

忘れる用のメモ書き for Cybersecurity

Cuckoo の設定メモ

実行時のオプション

ファイル種別固有のオプション

zip

オプション名 説明
file アーカイブ内のどのファイルを実行するかを指定します。
何も指定しないと Cuckoo は sample.exe を実行しようとします。
arguments 実行ファイルの初期プロセスに渡すコマンドライン引数を指定します。
password アーカイブのパスワードを指定します。何も指定しないと、
Cuckooはパスワードなしでアーカイブを抽出しようとするか、
パスワードに「infected」を使用します。

dll

オプション名 説明
function 実行する関数を指定します。何も指定しないと、Cuckoo は DllMain を実行しようとします。
arguments DLL の初期プロセスに渡すコマンドライン引数を指定します。
loader rundll32.exe の使用するプロセス名を指定します。
(これは、特定のマルウェアが持つサンドボックス検知機能を欺くために使用されます。)

exe

オプション名 説明
arguments EXE の初期プロセスに渡すコマンドライン引数を指定します。

jar

オプション名 説明
class 実行するクラスのパスを指定します。何も指定しないと、
Cuckoo は Jar の MANIFEST ファイルに指定された main 関数を実行しようとします。

applet

オプション名 説明
class 実行するクラスの名前を指定します。このオプションは、正しい実行には必須です。

 
これらのオプションをWeb画面から入力する場合は、解析設定時に「EXTRA OPTIONS」から設定します(黄色網掛け部分)。 入力後に Enter を押下して確定しておく必要があるので注意が必要です。

f:id:soji256:20190608151412p:plain
Extra Options

解析結果ログの確認

以下に出力されています。数字は解析した順に連番で振られます。

cat .cuckoo/storage/analyses/1/analysis.log

Web画面からは Summary > Information on Execution > Show Analyzer Log から確認できます。

f:id:soji256:20190608152025p:plain
Show Analyzer Log

解析環境のメモリダンプ

以下に出力されています。数字は解析した順に連番で振られます。

 .cuckoo/storage/analyses/1/memory.dmp

解析環境の通信パケット(pcap)

以下に出力されています。数字は解析した順に連番で振られます。

 .cuckoo/storage/analyses/1/dump.pcap

Cuckoo 解析結果の全消去

cuckoo clean

もしくは

python cuckoo.py --clean

memory.conf

vi .cuckoo/conf/memory.conf

メモリダンプの保存が不要の場合はここで解析後に削除するよう設定できます。

## Delete memory dump after volatility processing.
##delete_memdump = no
delete_memdump = yes

volatility でスキャンするモジュールはここで ON/OFF の設定ができます。
例:

[ssdt]
##enabled = yes
enabled = no
filter = yes

参考文献

更新履歴

  • 2019/06/08 新規作成