Forense Digital com Linux – Técnicas Práticas – Parte 20

Configuração do Cuckoo Sandbox para máquina virtual (VM)

Configurar o Cuckoo Sandbox para usar uma máquina virtual (VM) como ambiente de análise é uma etapa crucial para garantir que o malware seja executado em um ambiente isolado e controlado. Abaixo, descrevo os passos detalhados para configurar o Cuckoo Sandbox com uma máquina virtual no Rocky Linux 9, utilizando o KVM (Kernel-based Virtual Machine) como hipervisor.

 

1. Instalação e configuração do KVM

O KVM é um hipervisor de código aberto amplamente utilizado no Linux. Para usá-lo com o Cuckoo Sandbox, siga os passos abaixo:

 

Instale o KVM e ferramentas relacionadas:

sudo dnf install @virtualization
sudo systemctl start libvirtd
sudo systemctl enable libvirtd

Verifique se o KVM está funcionando:

sudo virsh list --all

Se o KVM estiver configurado corretamente, você verá uma lista de máquinas virtuais (se houver alguma).

 

2. Criação da máquina virtual (VM)

Crie uma máquina virtual que será usada como ambiente de análise. Você pode usar uma imagem do Rocky Linux 9 ou outro sistema operacional.

 

Passos para criar a VM:

  • Baixe uma imagem ISO do Rocky Linux 9 ou outro sistema operacional.

  • Use o virt-install para criar a VM:

    sudo virt-install \
--name rocky9-analysis \
--ram 2048 \
--vcpus 2 \
--disk path=/var/lib/libvirt/images/rocky9-analysis.qcow2,size=20 \
--os-type linux \
--os-variant rocky9 \
--network network=default \
--graphics spice \
--cdrom /caminho/para/Rocky-9.0-x86_64-dvd.iso

  • Siga o processo de instalação do sistema operacional na VM.

 

3. Configuração do Cuckoo Sandbox para usar a VM

Após criar a VM, é necessário configurar o Cuckoo Sandbox para usá-la como ambiente de análise.

 

Edite o arquivo de configuração cuckoo.conf:

  • Abra o arquivo de configuração do Cuckoo:

    nano ~/.cuckoo/conf/cuckoo.conf

  • Defina o hipervisor como kvm:

    [cuckoo]
machinery = kvm

Edite o arquivo de configuração kvm.conf:

  • Abra o arquivo de configuração do KVM:

    nano ~/.cuckoo/conf/kvm.conf

  • Configure a VM criada anteriormente. Exemplo:

    [kvm]
label = rocky9-analysis
ip = 192.168.122.2  # IP da VM na rede NAT do KVM
snapshot = cuckoo_snapshot  # Nome do snapshot
interface = virbr0  # Interface de rede do KVM

    • label: Nome da VM no KVM.

    • ip: Endereço IP da VM na rede NAT do KVM.

    • snapshot: Nome do snapshot que será usado para restaurar a VM após cada análise.

    • interface: Interface de rede usada pelo KVM (geralmente virbr0).

 

4. Criação de um snapshot da VM

O Cuckoo Sandbox depende de snapshots para restaurar a VM ao estado original após cada análise. Siga os passos abaixo para criar um snapshot:

  • Inicie a VM e configure-a para análise:

    • Instale ferramentas de análise, como Python, e configure o agente do Cuckoo Sandbox.

    • Certifique-se de que a VM está configurada para iniciar automaticamente o agente do Cuckoo.

  • Desligue a VM:

    sudo virsh shutdown rocky9-analysis

  • Crie um snapshot:

    sudo virsh snapshot-create-as rocky9-analysis cuckoo_snapshot

  • Verifique o snapshot:

    sudo virsh snapshot-list rocky9-analysis


5. Configuração do agente do Cuckoo na VM

O agente do Cuckoo Sandbox é um software que roda dentro da VM e coleta dados durante a execução do malware.

 

Passos para configurar o agente:

  • Copie o agente do Cuckoo para a VM:

    • O agente está localizado em ~/cuckoo/agent/agent.py.

    • Use scp ou um compartilhamento de rede para copiar o arquivo para a VM.

  • Configure o agente para iniciar automaticamente:

    • Adicione o agente ao sistema de inicialização da VM (por exemplo, usando systemd ou cron).

  • Teste o agente:

    • Execute o agente manualmente na VM e verifique se ele se conecta ao Cuckoo Sandbox.

 

6. Teste a configuração

Após configurar o ambiente, teste o Cuckoo Sandbox para garantir que ele está funcionando corretamente.

 

Submeta um arquivo para análise:

cuckoo submit /caminho/para/arquivo_suspeito.exe


Verifique o status da análise:

cuckoo status

Acesse o relatório gerado:

  • Os relatórios são gerados em ~/.cuckoo/storage/analyses/<ID>/.

 

7. Dicas e boas práticas

  • Isolamento de Rede: Certifique-se de que a VM está isolada da rede principal para evitar a propagação de malware.

  • Atualizações: Mantenha o sistema operacional da VM e o Cuckoo Sandbox atualizados.

  • Backup: Faça backup regular dos snapshots e configurações do Cuckoo.

 

Com essas configurações, o Cuckoo Sandbox estará pronto para analisar malware em um ambiente seguro e controlado utilizando uma máquina virtual no Rocky Linux 9.

 

Referências Bibliográficas

  • “Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software” by Michael Sikorski and Andrew Honig – Este livro oferece uma visão detalhada sobre técnicas de análise de malware, incluindo o uso de sandboxes.

  • “The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory” by Michael Hale Ligh, Andrew Case, Jamie Levy, and AAron Walters – Um guia abrangente sobre forense de memória, que complementa a análise de malware.

  • “Cuckoo Sandbox Documentation” – A documentação oficial do Cuckoo Sandbox fornece informações detalhadas sobre configuração, uso e interpretação de relatórios. Disponível em: https://cuckoosandbox.org/docs/