하루노트

2019.06.19일 약 1년여 만에 신버전이 나왔습니다. 무엇이 변경되었을까? 1. Python 3 - 파이썬 3 지원 2. Vulnerability warnings - $ CWD/conf/cuckoo.conf의 [cuckoo] 섹션에서 설정으로 검사 여부 변경 가능 - option name: ignore_vulnerablilites = yes로 설정하면 검사하지 않음 - Cuckoo에서 사용하는 Python 또는 VirtualBox 종속성 버전에 취약점이 있는 것을 알려줌 3. A new result server - 기존처럼 CPU를 많이 사용하지 않으며, 장시간 실행하거나 많은 수의 분석 시 메모리 및 성능 문제가 줄어들었음 4. Whitelisting - IP 및 도메인의 화이트리스트를 허용하여,..

# Requirements 1. Cuckoo Sandbox를 설치하기 위한 소프트웨어 패키지 설치방법 $ sudo apt-get install python python-pip python-dev libffi-dev libssl-dev $ sudo apt-get install python-virtualenv python-setuptools $ sudo apt-get install libjpeg-dev zlib1g-dev swig 2. Django 기반의 Web 인터페이스를 사용하기 위해 사용되는 mongodb 사용 설치방법 $ sudo apt-get install mongodb 3. PostgreSQL 사용 (권장사항) 설치방법 $ sudo apt-get install postgresql libpq-dev..

쿠쿠 샌드박스란? 오픈 소스로 이루어진 자동화된 악성 파일 분석 시스템이다. 격리된 운영체제 내에서 실행 파일을 자동으로 실행, 분석하는 데에 사용된다. 쿠쿠 샌드박스) 주요 기능 1. 악성코드에 의해 수행되는 Windows API 함수 호출 추적 2. 악성코드에 의해 파일 생성 및 복사, 삭제 확인 3. 선택한 프로세스의 메모리 덤프 4. 분석 시스템의 전체 메모리 덤프 5. 악성코드 실행하는 동안 스크린샷(process explorer) 6. 네트워크 덤프 (PCAP format) + (추가 분석도구를 이용) 7. Virustotal 검색결과 (기본적으로 연결되며 사용 유무 설정 가능) 8. 실행 압축 확인 (PE file 설치) 9. Fuzzy Hash 확인 (ssdeep 설치) 10. 패턴을 이용..

허니팟허니팟은 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템이다. 이를 통해 공격자를 추적하고 정보를 수집하는 역할을 한다.공격자를 속이기 위해 마치 정상 시스템에 침투한 것처럼 속여야 한다. (일종의 덫이다.) 아래의 그림을 보면 쉽게 이해 할 수 있다. 마치 꿀단지 안의 꿀로 공격자를 유인하는 모습이다.허니팟에 공격자들을 끌어들이기 위해서는 다음의 요구사항들을 만족시켜야 한다.- 쉽게 해커에게 노출되어야 한다.- 사용자 PC 환경과 유사해야 한다.- 쉽게 해킹이 가능한 것처럼 보여야 한다.- 해당 시스템에 접근하는 모든 패킷을 감시해야 한다. - 해당 시스템에 접근하는 모든 감시 기록은 관리자가 볼 수 있어야 한다. 허니팟은 크게 2가지로 구분된다- Server side honeypot..