SlideShare una empresa de Scribd logo

Cuckoo sandbox

Descargar como PPTX, PDF
Tensor
Tensor

Cuckoo sandbox

Educación
1 de 38
Clase 14 07-11-2013
 Muchos de nosotros habrás tenido ganas de poder realizar algún análisis de malware para saber que hacía algunas de las muestras que nos han llegado, bien por correo electrónico, bien la has encontrado en aquel pen drive que algún familiar nos dice "Toma copia estas fotos" y en el USB hay mas malware que fotos para copiar.  Si no has lidiado realizando un análisis dinámico de la muestra o bien, no tienes práctica ni tiempo, al final acabas subiendo la muestra aquellos servicios que ya conocemos, Virus Total Jottis, Threat Expert o similares.  Pero, y si por un momento ¿No queremos subir la muestra a este tipo de servicios? Por ejemplo nos encontramos en un caso en el que no puedes distribuir la muestra ya que estás investigando un caso y la muestra no puedes subirla a cualquier sitio. En ese caso y otros, para hacerte con una idea general de lo que hace la muestra y poder realizar perfectamente un análisis dinámico tenemos entre otros proyectos Cuckoo.  El proyecto se encuentra MUY vivo y se va actualizando añadiendo nuevos módulos al sandbox y nuevas versiones cada cierto tiempo. Además las últimas versiones se instalan en no mas de 10 minutos, no como las primeras, que tenías que lidiar realizando mas pasos.
 El sandbox se apoya en el sistema de virtualbox o vmware con un sistema windows instalado como cliente para poder realizar los análisis.  La estructura de Cuckoo es así:  Desde tu máquina enviarás tus muestras a los diferentes clientes que tengas configurados con Cuckoo para poder hacer los análisis pertinentes.
 La instalación mas sencilla es en Ubuntu, aunque el Bugtraq ya la trae por default.  Si miramos la documentación de Cuckoo, necesitaremos:   Python Magic (Highly Recommended): for identifying files’ formats (otherwise use “file” command line utility)  Dpkt (Highly Recommended): for extracting relevant information from PCAP files.  Mako (Highly Recommended): for rendering the HTML reports and the web interface.  Pydeep (Optional): for calculating ssdeep fuzzy hash of files.  Pymongo (Optional): for storing the results in a MongoDB database.  Yara and Yara Python (Optional): for matching Yara signatures.  Libvirt (Optional): for using the KVM module.
 Algunos de los módulos se pueden instalar mediante:  sudo apt-get install python-magic python-dpkt python-mako python-pymongo
 En una máquina en VirtualBox. Tan solo que en la máquina Windows instalada deberemos de configurar ciertas cosas:  Pondremos en OFF, el cortafuegos de windows y también las actualizaciones. Esto nos evitará en el caso del análisis de las trazas de red que no nos molesten las actualizaciones de red. Y el firewall lo desactivamos para que el malware se pueda conectar libremente a donde quiera.
 Python, para poder ejecutar el agente en la máquina virtual. Además necesitaremos software vulnerable, es por eso que instalaremos el software que necesitemos.  Para versiones viejas de software, oldapps.
 Solo configuraremos opciones básicas de cuckoo para hacerlo funcionar. Recomiendo trabajar con los archivos de configuración y adaptarlo a nuestras necesidades.  Bajamos Cuckoo o de la siguiente captura como se muestra a continuación:  xxxxxxxxxxx:~/tools/malware:git clone git://github.com/cuckoobox/cuckoo.git  Cloning into 'cuckoo'...  remote: Counting objects: 6324, done.  remote: Compressing objects: 100% (2048/2048), done.  remote: Total 6324 (delta 4101), reused 6214 (delta 4017)  Receiving objects: 100% (6324/6324), 4.88 MiB | 124 KiB/s, done.  Resolving deltas: 100% (4101/4101), done.
 Ahora configuraremos varias cosas de Cuckoo para hacerlo funcionar:  Editamos el archivo cuckoo.conf:  xxxxxxx:~/tools/malware/cuckoo:nano conf/cuckoo.conf
 De aquí lo que tendremos que cambiar es:  # Specify the name of the machine manager module to use, this module will  # define the interaction between Cuckoo and your virtualization software  # of choice.  machine_manager = virtualbox
 # Enable or disable the use of an external sniffer (tcpdump) [yes/no].  use_sniffer = yes  # Specify the network interface name on which tcpdump should monitor the  # traffic. Make sure the interface is active.  interface = en0
 Si usamos otro sistema que no sea Virtualbox, lo cambiamos. En mi caso dejo Virtualbox.  Si recuerdas como requisito instalamos tcpdump, si queremos que se capture el tráfico de red con tcpdump, dejamos marcado yes.  En cuanto a la interfaz de red, esto es muy importante y ha dado varios problemas de que no haya funcionado la última versión de cuckoo.
 En la documentación oficial de Cuckoo, aconsejan usar vboxnet0. La máquina virtual configurada con esta extensión NO tendrá acceso a internet por lo tanto si estamos estudiando algún tipo de troyano bancario, o un dropper no podrá hacerse el análisis dinámico correcto al no contar con el tráfico de red.  Si queremos poner la red en modo vboxnet0, lo configuramos en Virtualbox
 En la máquina virtual especificamos que usaremos esa interfaz en concreto:
 El poner la red en vboxnet0 nos sirve para poder controlar las conexiones que realice la máquina virtual. En mi caso me da igual por lo tanto, dejo la máquina en brigde y asigno la interfaz de la máquina. En el caso del mac, en0.  Ahora configuramos otro archivo:  xxxxxx:~/tools/malware/cuckoo:nano conf/virtualbox.conf  [cuckoo1]  # Specify the label name of the current machine as specified in your  # VirtualBox configuration.  label = sandbox
 Specify the operating system platform used by current machine  # [windows/darwin/linux].  platform = windows  # Specify the IP address of the current machine. Make sure that the IP address  # is valid and that the host machine is able to reach it. If not, the analysis  # will fail.  ip = 192.168.1.113  Aquí especificamos el nombre que le hemos dado a la máquina virtual, la plataforma que usaremos y la dirección IP que tendrá la máquina virtual.
 Con la última versión de Cuckoo, lo que se necesita es un agente en python:  xxxxx:~/tools/malware/cuckoo:ls agent/  agent.py  El agente deberemos de colocarlo para que se inicie al arrancar Windows, o bien con una entrada del registro, o en la carpeta startup.
 En este momento pausamos la máquina. Posteriormente la apagamos la máquina.  Restauramos la máquina al snapshot con la máquina virtual parada.  Arrancamos Cuckoo:
 xxxx:~/tools/malware/cuckoo:python cuckoo.py  Por ejemplo como se muestra a continuación
 Cuckoo estará a la espera de que hagamos submit de una muestra:
 Cuckoo empezará el análisis de la máquina virtual  Una vez acabado podremos ver el resultado en la parte web de Cuckoo, arrancamos la parte web:  xxxxx:~/tools/malware/cuckoo/utils:python web.py  Bottle v0.11.dev server starting up (using WSGIRefServer())...  Listening on http://0.0.0.0:8080/  Hit Ctrl-C to quit.
 Desde la parte web podremos hacer un submit nuevo de una muestra, además de indicarle la prioridad.
 En el apartado Browse, encontraremos las muestras que ya hayamos subido.  Clicando en el MD5, encontraremos un report de la muestra:
 Información que nos arroja Cuckoo
 Podremos ver también la parte de red, y cambios a nivel de directorios.  Para saber mas del proyecto visitar:  http://www.cuckoosandbox.org/

Recomendados

Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
CuckoosandboxTensor
 
Escaner
EscanerEscaner
EscanerTensor
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Telefónica
 
Entorno de desarrollo rápido con Vagrant
Entorno de desarrollo rápido con VagrantEntorno de desarrollo rápido con Vagrant
Entorno de desarrollo rápido con VagrantPau Ferrer Ocaña
 
Sandbox para ejercicios de programación
Sandbox para ejercicios de programaciónSandbox para ejercicios de programación
Sandbox para ejercicios de programaciónMario Garcia-Valdez
 

Recomendados

Armitage pruebas
Armitage pruebasArmitage pruebas
Armitage pruebasTensor
 
Cuckoo sandbox
Cuckoo sandboxCuckoo sandbox
Cuckoo sandboxTensor
 
Cuckoosandbox
CuckoosandboxCuckoosandbox
CuckoosandboxTensor
 
Escaner
EscanerEscaner
EscanerTensor
 
Present3
Present3Present3
Present3Rafael Cornejo Martinez
 
Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Cómo explotar EternalBlue en Windows Server 2012 R2
Cómo explotar EternalBlue en Windows Server 2012 R2Telefónica
 
Entorno de desarrollo rápido con Vagrant
Entorno de desarrollo rápido con VagrantEntorno de desarrollo rápido con Vagrant
Entorno de desarrollo rápido con VagrantPau Ferrer Ocaña
 
Sandbox para ejercicios de programación
Sandbox para ejercicios de programaciónSandbox para ejercicios de programación
Sandbox para ejercicios de programaciónMario Garcia-Valdez
 
Vagrant
VagrantVagrant
VagrantJoaquín Salvachúa
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)Pablo Alvarez Doval
 
Act. 12 Segundo Parcial
Act. 12 Segundo ParcialAct. 12 Segundo Parcial
Act. 12 Segundo ParcialJesus Garcia Guevara
 
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesitaGeneXus
 
Curso de Metasploit
Curso de MetasploitCurso de Metasploit
Curso de MetasploitIgnacio Sorribas
 
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...Jorge Gonzalez
 
Instalación del Netlogo en diferentes plataformas
Instalación del Netlogo en diferentes plataformasInstalación del Netlogo en diferentes plataformas
Instalación del Netlogo en diferentes plataformasNatalia Ludeña
 
Nesuss sebastianm98
Nesuss sebastianm98Nesuss sebastianm98
Nesuss sebastianm98Sebastian Mayorga
 
Phishing
PhishingPhishing
PhishingFrank Erik Pinilla Leiva
 
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPCEjemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPCIvan Luis Jimenez
 
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Magallanes, Herramienta de despliegue PHP sencilla y poderosa�Magallanes, Herramienta de despliegue PHP sencilla y poderosa�
Magallanes, Herramienta de despliegue PHP sencilla y poderosaFco Javier Núñez Berrocoso
 
CTF Brainpan
CTF BrainpanCTF Brainpan
CTF BrainpanDiego Ramírez González
 
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsDesarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsJon Vadillo Romero
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Lo que será windows 8
Lo que será windows 8Lo que será windows 8
Lo que será windows 8Eventos Creativos
 
Gestionando servidores con Puppet
Gestionando servidores con PuppetGestionando servidores con Puppet
Gestionando servidores con PuppetJavier Turégano Molina
 
Tarea som
Tarea somTarea som
Tarea somsantivago1
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01Tensor
 
Docker
DockerDocker
Dockerjosepichardo12345
 
Turbogears_Instalación
Turbogears_InstalaciónTurbogears_Instalación
Turbogears_InstalaciónNatalia Martinez Ramos
 
Servicio planetario fuego sagrado
Servicio planetario fuego sagradoServicio planetario fuego sagrado
Servicio planetario fuego sagradoJudith Madia de Veloz
 
Radiografía de Riesgos (Protégeles)
Radiografía de Riesgos (Protégeles)Radiografía de Riesgos (Protégeles)
Radiografía de Riesgos (Protégeles)CTIC Technology Centre
 

Más contenido relacionado

La actualidad más candente

Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)Pablo Alvarez Doval
 
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesitaGeneXus
 
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...Jorge Gonzalez
 
Instalación del Netlogo en diferentes plataformas
Instalación del Netlogo en diferentes plataformasInstalación del Netlogo en diferentes plataformas
Instalación del Netlogo en diferentes plataformasNatalia Ludeña
 
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPCEjemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPCIvan Luis Jimenez
 
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Magallanes, Herramienta de despliegue PHP sencilla y poderosa�Magallanes, Herramienta de despliegue PHP sencilla y poderosa�
Magallanes, Herramienta de despliegue PHP sencilla y poderosaFco Javier Núñez Berrocoso
 
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsDesarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsJon Vadillo Romero
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01Tensor
 

La actualidad más candente (20)

Vagrant
VagrantVagrant
Vagrant
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Basica)
 
Act. 12 Segundo Parcial
Act. 12 Segundo ParcialAct. 12 Segundo Parcial
Act. 12 Segundo Parcial
 
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
0131 tu aplicacion_gene_xus_en_la_nube_lo_que_se_necesita
 
Curso de Metasploit
Curso de MetasploitCurso de Metasploit
Curso de Metasploit
 
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
Consulting & Virtual System: instalación cent os 6.3 en virtualbox con netins...
 
Instalación del Netlogo en diferentes plataformas
Instalación del Netlogo en diferentes plataformasInstalación del Netlogo en diferentes plataformas
Instalación del Netlogo en diferentes plataformas
 
Nesuss sebastianm98
Nesuss sebastianm98Nesuss sebastianm98
Nesuss sebastianm98
 
Phishing
PhishingPhishing
Phishing
 
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPCEjemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
Ejemplo de RPC (Servidor de Archivos) enviar archivo en Java utilizando RPC
 
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
Magallanes, Herramienta de despliegue PHP sencilla y poderosa�Magallanes, Herramienta de despliegue PHP sencilla y poderosa�
Magallanes, Herramienta de despliegue PHP sencilla y poderosa
 
CTF Brainpan
CTF BrainpanCTF Brainpan
CTF Brainpan
 
Desarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los ServletsDesarrollo web con JAVA: Introduccion a los Servlets
Desarrollo web con JAVA: Introduccion a los Servlets
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
 
Lo que será windows 8
Lo que será windows 8Lo que será windows 8
Lo que será windows 8
 
Gestionando servidores con Puppet
Gestionando servidores con PuppetGestionando servidores con Puppet
Gestionando servidores con Puppet
 
Tarea som
Tarea somTarea som
Tarea som
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01
 
Docker
DockerDocker
Docker
 
Turbogears_Instalación
Turbogears_InstalaciónTurbogears_Instalación
Turbogears_Instalación
 

Destacado

Dossier prensa COTIF 2016
Dossier prensa COTIF 2016Dossier prensa COTIF 2016
Dossier prensa COTIF 2016Alba Obscura
 
Neuroversum - Produktinformation
Neuroversum - ProduktinformationNeuroversum - Produktinformation
Neuroversum - ProduktinformationNeuroversum
 
analisis de las cabeceras de televisión
analisis de las cabeceras de televisiónanalisis de las cabeceras de televisión
analisis de las cabeceras de televisióndafnegonzalez
 
LazyOSM State of the Map 2009 Tweets
LazyOSM State of the Map 2009 TweetsLazyOSM State of the Map 2009 Tweets
LazyOSM State of the Map 2009 Tweetschippy
 
TEDxWhiteCity - Sales Recap
TEDxWhiteCity - Sales RecapTEDxWhiteCity - Sales Recap
TEDxWhiteCity - Sales RecapHila Rosenfeld
 
How to write web copy that sells (OMG commerce 2103 presentation)
How to write web copy that sells (OMG commerce 2103 presentation)How to write web copy that sells (OMG commerce 2103 presentation)
How to write web copy that sells (OMG commerce 2103 presentation)Nenad Vukusic
 
Performance Lab Services proposition
Performance Lab Services propositionPerformance Lab Services proposition
Performance Lab Services propositionDmitry Paletsky
 
Agile Adoption Framework
Agile Adoption FrameworkAgile Adoption Framework
Agile Adoption FrameworkVaibhav Sathe
 
IScico Module 1 - This is me and my digital circumstances
IScico Module 1 - This is me and my digital circumstancesIScico Module 1 - This is me and my digital circumstances
IScico Module 1 - This is me and my digital circumstancesMiquel Duran
 
La Dirección decide ejecutar el ERE. 12E: Huelga en Tragsatec
La Dirección decide ejecutar el ERE. 12E: Huelga en TragsatecLa Dirección decide ejecutar el ERE. 12E: Huelga en Tragsatec
La Dirección decide ejecutar el ERE. 12E: Huelga en TragsatecCGT Tragsatec
 
2ºterzo_sec XX
2ºterzo_sec XX2ºterzo_sec XX
2ºterzo_sec XXxenevra
 

Destacado (20)

Servicio planetario fuego sagrado
Servicio planetario fuego sagradoServicio planetario fuego sagrado
Servicio planetario fuego sagrado
 
Radiografía de Riesgos (Protégeles)
Radiografía de Riesgos (Protégeles)Radiografía de Riesgos (Protégeles)
Radiografía de Riesgos (Protégeles)
 
Dossier prensa COTIF 2016
Dossier prensa COTIF 2016Dossier prensa COTIF 2016
Dossier prensa COTIF 2016
 
Neuroversum - Produktinformation
Neuroversum - ProduktinformationNeuroversum - Produktinformation
Neuroversum - Produktinformation
 
analisis de las cabeceras de televisión
analisis de las cabeceras de televisiónanalisis de las cabeceras de televisión
analisis de las cabeceras de televisión
 
LazyOSM State of the Map 2009 Tweets
LazyOSM State of the Map 2009 TweetsLazyOSM State of the Map 2009 Tweets
LazyOSM State of the Map 2009 Tweets
 
Eula
EulaEula
Eula
 
Aprendiendo a vivir
Aprendiendo a vivirAprendiendo a vivir
Aprendiendo a vivir
 
TEDxWhiteCity - Sales Recap
TEDxWhiteCity - Sales RecapTEDxWhiteCity - Sales Recap
TEDxWhiteCity - Sales Recap
 
How to write web copy that sells (OMG commerce 2103 presentation)
How to write web copy that sells (OMG commerce 2103 presentation)How to write web copy that sells (OMG commerce 2103 presentation)
How to write web copy that sells (OMG commerce 2103 presentation)
 
Empresas Tecnológicas en el Sector Financiero
Empresas Tecnológicas en el Sector FinancieroEmpresas Tecnológicas en el Sector Financiero
Empresas Tecnológicas en el Sector Financiero
 
Performance Lab Services proposition
Performance Lab Services propositionPerformance Lab Services proposition
Performance Lab Services proposition
 
Agile Adoption Framework
Agile Adoption FrameworkAgile Adoption Framework
Agile Adoption Framework
 
IScico Module 1 - This is me and my digital circumstances
IScico Module 1 - This is me and my digital circumstancesIScico Module 1 - This is me and my digital circumstances
IScico Module 1 - This is me and my digital circumstances
 
Global Economics Update - February 2016
Global Economics Update - February 2016Global Economics Update - February 2016
Global Economics Update - February 2016
 
La Dirección decide ejecutar el ERE. 12E: Huelga en Tragsatec
La Dirección decide ejecutar el ERE. 12E: Huelga en TragsatecLa Dirección decide ejecutar el ERE. 12E: Huelga en Tragsatec
La Dirección decide ejecutar el ERE. 12E: Huelga en Tragsatec
 
Agro rio intag
Agro rio intagAgro rio intag
Agro rio intag
 
Ototoxicidad vestibular
Ototoxicidad vestibularOtotoxicidad vestibular
Ototoxicidad vestibular
 
2ºterzo_sec XX
2ºterzo_sec XX2ºterzo_sec XX
2ºterzo_sec XX
 
Ejemplo de Web 2.0
Ejemplo de Web 2.0Ejemplo de Web 2.0
Ejemplo de Web 2.0
 

Similar a Cuckoo sandbox

Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentestingakencito
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneJASENT
 
Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...moviljuegosmil22
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5davister
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01pattala01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallVanesa Rodríguez Percy
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Ángel Sardinero López
 
instalacion de windows 7 y vista
instalacion de windows 7 y vista instalacion de windows 7 y vista
instalacion de windows 7 y vista amaya-021912
 
Auditoria de Seguridad Informatica
Auditoria de Seguridad InformaticaAuditoria de Seguridad Informatica
Auditoria de Seguridad InformaticaAlain Peña
 
Seguridad: Backtrack1_bis
Seguridad: Backtrack1_bisSeguridad: Backtrack1_bis
Seguridad: Backtrack1_bisFrancesc Perez
 
Componentes Ubuntu
Componentes UbuntuComponentes Ubuntu
Componentes UbuntuElvis Calle
 
Vagrant y Docker - Guía práctica de uso
Vagrant y Docker - Guía práctica de usoVagrant y Docker - Guía práctica de uso
Vagrant y Docker - Guía práctica de usoSergio Zambrano Delfa
 
T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2WilliamBeltran007
 
Introducción a la programación del amigo bot
Introducción a la programación del amigo botIntroducción a la programación del amigo bot
Introducción a la programación del amigo botjhonsoomelol
 

Similar a Cuckoo sandbox (20)

Manualvirtualbox.pdf
Manualvirtualbox.pdfManualvirtualbox.pdf
Manualvirtualbox.pdf
 
Sallis Usb Hacks
Sallis Usb HacksSallis Usb Hacks
Sallis Usb Hacks
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
 
Meterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphoneMeterpreter en android el desembarco en tu smartphone
Meterpreter en android el desembarco en tu smartphone
 
PDIDTI-S7.pptx
PDIDTI-S7.pptxPDIDTI-S7.pptx
PDIDTI-S7.pptx
 
Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...Películas Y Series Sin costo Descargar Películas Sin coste En E...
Películas Y Series Sin costo Descargar Películas Sin coste En E...
 
Proyecto 5
Proyecto 5Proyecto 5
Proyecto 5
 
Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01Actividadno1seguridadperimetral -conversion-gate01
Actividadno1seguridadperimetral -conversion-gate01
 
Seguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik FirewallSeguridad perimetral - Mikrotik Firewall
Seguridad perimetral - Mikrotik Firewall
 
Ubuntu
UbuntuUbuntu
Ubuntu
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.
 
instalacion de windows 7 y vista
instalacion de windows 7 y vista instalacion de windows 7 y vista
instalacion de windows 7 y vista
 
Auditoria de Seguridad Informatica
Auditoria de Seguridad InformaticaAuditoria de Seguridad Informatica
Auditoria de Seguridad Informatica
 
Seguridad: Backtrack1_bis
Seguridad: Backtrack1_bisSeguridad: Backtrack1_bis
Seguridad: Backtrack1_bis
 
Componentes Ubuntu
Componentes UbuntuComponentes Ubuntu
Componentes Ubuntu
 
Informe fase2 frank_gómez
Informe fase2 frank_gómezInforme fase2 frank_gómez
Informe fase2 frank_gómez
 
Nagios
NagiosNagios
Nagios
 
Vagrant y Docker - Guía práctica de uso
Vagrant y Docker - Guía práctica de usoVagrant y Docker - Guía práctica de uso
Vagrant y Docker - Guía práctica de uso
 
T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2T_Fase4_103380_Grupo125_Fase2
T_Fase4_103380_Grupo125_Fase2
 
Introducción a la programación del amigo bot
Introducción a la programación del amigo botIntroducción a la programación del amigo bot
Introducción a la programación del amigo bot
 

Más de Tensor

Libertad
LibertadLibertad
LibertadTensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisecciónTensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicularTensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colasTensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016Tensor
 
Game maker
Game makerGame maker
Game makerTensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivosTensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadenaTensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de ordenTensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametrosTensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónTensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricattiTensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioTensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadasTensor
 
Ondas em
Ondas emOndas em
Ondas emTensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticasTensor
 

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Último

PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
Estrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxEstrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxdkmeza
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
actividades comprensión lectora para 3° grado
actividades comprensión lectora para 3° gradoactividades comprensión lectora para 3° grado
actividades comprensión lectora para 3° gradoJosDanielEstradaHern
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Alejandrino Halire Ccahuana
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxdeimerhdz21
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 

Último (20)

Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
Estrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxEstrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptx
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
actividades comprensión lectora para 3° grado
actividades comprensión lectora para 3° gradoactividades comprensión lectora para 3° grado
actividades comprensión lectora para 3° grado
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 

Cuckoo sandbox

  • 2.  Muchos de nosotros habrás tenido ganas de poder realizar algún análisis de malware para saber que hacía algunas de las muestras que nos han llegado, bien por correo electrónico, bien la has encontrado en aquel pen drive que algún familiar nos dice "Toma copia estas fotos" y en el USB hay mas malware que fotos para copiar.  Si no has lidiado realizando un análisis dinámico de la muestra o bien, no tienes práctica ni tiempo, al final acabas subiendo la muestra aquellos servicios que ya conocemos, Virus Total Jottis, Threat Expert o similares.  Pero, y si por un momento ¿No queremos subir la muestra a este tipo de servicios? Por ejemplo nos encontramos en un caso en el que no puedes distribuir la muestra ya que estás investigando un caso y la muestra no puedes subirla a cualquier sitio. En ese caso y otros, para hacerte con una idea general de lo que hace la muestra y poder realizar perfectamente un análisis dinámico tenemos entre otros proyectos Cuckoo.  El proyecto se encuentra MUY vivo y se va actualizando añadiendo nuevos módulos al sandbox y nuevas versiones cada cierto tiempo. Además las últimas versiones se instalan en no mas de 10 minutos, no como las primeras, que tenías que lidiar realizando mas pasos.
  • 3.  El sandbox se apoya en el sistema de virtualbox o vmware con un sistema windows instalado como cliente para poder realizar los análisis.  La estructura de Cuckoo es así:  Desde tu máquina enviarás tus muestras a los diferentes clientes que tengas configurados con Cuckoo para poder hacer los análisis pertinentes.
  • 4.  La instalación mas sencilla es en Ubuntu, aunque el Bugtraq ya la trae por default.  Si miramos la documentación de Cuckoo, necesitaremos:   Python Magic (Highly Recommended): for identifying files’ formats (otherwise use “file” command line utility)  Dpkt (Highly Recommended): for extracting relevant information from PCAP files.  Mako (Highly Recommended): for rendering the HTML reports and the web interface.  Pydeep (Optional): for calculating ssdeep fuzzy hash of files.  Pymongo (Optional): for storing the results in a MongoDB database.  Yara and Yara Python (Optional): for matching Yara signatures.  Libvirt (Optional): for using the KVM module.
  • 5.  Algunos de los módulos se pueden instalar mediante:  sudo apt-get install python-magic python-dpkt python-mako python-pymongo
  • 6.  En una máquina en VirtualBox. Tan solo que en la máquina Windows instalada deberemos de configurar ciertas cosas:  Pondremos en OFF, el cortafuegos de windows y también las actualizaciones. Esto nos evitará en el caso del análisis de las trazas de red que no nos molesten las actualizaciones de red. Y el firewall lo desactivamos para que el malware se pueda conectar libremente a donde quiera.
  • 7.
  • 8.  Python, para poder ejecutar el agente en la máquina virtual. Además necesitaremos software vulnerable, es por eso que instalaremos el software que necesitemos.  Para versiones viejas de software, oldapps.
  • 9.
  • 10.  Solo configuraremos opciones básicas de cuckoo para hacerlo funcionar. Recomiendo trabajar con los archivos de configuración y adaptarlo a nuestras necesidades.  Bajamos Cuckoo o de la siguiente captura como se muestra a continuación:  xxxxxxxxxxx:~/tools/malware:git clone git://github.com/cuckoobox/cuckoo.git  Cloning into 'cuckoo'...  remote: Counting objects: 6324, done.  remote: Compressing objects: 100% (2048/2048), done.  remote: Total 6324 (delta 4101), reused 6214 (delta 4017)  Receiving objects: 100% (6324/6324), 4.88 MiB | 124 KiB/s, done.  Resolving deltas: 100% (4101/4101), done.
  • 11.
  • 12.  Ahora configuraremos varias cosas de Cuckoo para hacerlo funcionar:  Editamos el archivo cuckoo.conf:  xxxxxxx:~/tools/malware/cuckoo:nano conf/cuckoo.conf
  • 13.
  • 14.  De aquí lo que tendremos que cambiar es:  # Specify the name of the machine manager module to use, this module will  # define the interaction between Cuckoo and your virtualization software  # of choice.  machine_manager = virtualbox
  • 15.  # Enable or disable the use of an external sniffer (tcpdump) [yes/no].  use_sniffer = yes  # Specify the network interface name on which tcpdump should monitor the  # traffic. Make sure the interface is active.  interface = en0
  • 16.  Si usamos otro sistema que no sea Virtualbox, lo cambiamos. En mi caso dejo Virtualbox.  Si recuerdas como requisito instalamos tcpdump, si queremos que se capture el tráfico de red con tcpdump, dejamos marcado yes.  En cuanto a la interfaz de red, esto es muy importante y ha dado varios problemas de que no haya funcionado la última versión de cuckoo.
  • 17.  En la documentación oficial de Cuckoo, aconsejan usar vboxnet0. La máquina virtual configurada con esta extensión NO tendrá acceso a internet por lo tanto si estamos estudiando algún tipo de troyano bancario, o un dropper no podrá hacerse el análisis dinámico correcto al no contar con el tráfico de red.  Si queremos poner la red en modo vboxnet0, lo configuramos en Virtualbox
  • 18.  En la máquina virtual especificamos que usaremos esa interfaz en concreto:
  • 19.
  • 20.  El poner la red en vboxnet0 nos sirve para poder controlar las conexiones que realice la máquina virtual. En mi caso me da igual por lo tanto, dejo la máquina en brigde y asigno la interfaz de la máquina. En el caso del mac, en0.  Ahora configuramos otro archivo:  xxxxxx:~/tools/malware/cuckoo:nano conf/virtualbox.conf  [cuckoo1]  # Specify the label name of the current machine as specified in your  # VirtualBox configuration.  label = sandbox
  • 21.  Specify the operating system platform used by current machine  # [windows/darwin/linux].  platform = windows  # Specify the IP address of the current machine. Make sure that the IP address  # is valid and that the host machine is able to reach it. If not, the analysis  # will fail.  ip = 192.168.1.113  Aquí especificamos el nombre que le hemos dado a la máquina virtual, la plataforma que usaremos y la dirección IP que tendrá la máquina virtual.
  • 22.
  • 23.  Con la última versión de Cuckoo, lo que se necesita es un agente en python:  xxxxx:~/tools/malware/cuckoo:ls agent/  agent.py  El agente deberemos de colocarlo para que se inicie al arrancar Windows, o bien con una entrada del registro, o en la carpeta startup.
  • 24.
  • 25.  En este momento pausamos la máquina. Posteriormente la apagamos la máquina.  Restauramos la máquina al snapshot con la máquina virtual parada.  Arrancamos Cuckoo:
  • 26.  xxxx:~/tools/malware/cuckoo:python cuckoo.py  Por ejemplo como se muestra a continuación
  • 27.
  • 28.  Cuckoo estará a la espera de que hagamos submit de una muestra:
  • 29.
  • 30.  Cuckoo empezará el análisis de la máquina virtual  Una vez acabado podremos ver el resultado en la parte web de Cuckoo, arrancamos la parte web:  xxxxx:~/tools/malware/cuckoo/utils:python web.py  Bottle v0.11.dev server starting up (using WSGIRefServer())...  Listening on http://0.0.0.0:8080/  Hit Ctrl-C to quit.
  • 31.
  • 32.  Desde la parte web podremos hacer un submit nuevo de una muestra, además de indicarle la prioridad.
  • 33.
  • 34.  En el apartado Browse, encontraremos las muestras que ya hayamos subido.  Clicando en el MD5, encontraremos un report de la muestra:
  • 35.
  • 36.  Información que nos arroja Cuckoo
  • 37.
  • 38.  Podremos ver también la parte de red, y cambios a nivel de directorios.  Para saber mas del proyecto visitar:  http://www.cuckoosandbox.org/