From 0b2e20a40838c606a12c3664bb174c4fd962fe66 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Johannes=20B=C3=BClow?= Date: Wed, 6 Dec 2023 15:27:16 +0100 Subject: [PATCH] part 1 of CAPEv2 Blogpost series --- config.toml | 18 +++--- content/about/lebenslauf.md | 24 +++++++ content/blog/2023-11-30-CAPEv2-Sandbox.md | 76 +++++++++++++++++++++++ 3 files changed, 109 insertions(+), 9 deletions(-) create mode 100644 content/about/lebenslauf.md create mode 100644 content/blog/2023-11-30-CAPEv2-Sandbox.md diff --git a/config.toml b/config.toml index 77ccf11..395a552 100644 --- a/config.toml +++ b/config.toml @@ -13,15 +13,15 @@ defaultContentLanguage= "de" [languages] [languages.de] - title = "Johannes Bülow IT Consulting" - subtitle = "Consulting & Support zu IT-Sicherheit, Linux, Hosting, Entwicklung und mehr" - keywords = "" - copyright = "Johannes Bülow" - menuMore = "Mehr anzeigen" - readMore = "Weiterlesen" - readOtherPosts = "Weitere Artikel" - owner = "Johannes Bülow" - + [languages.de.params] + title = "Johannes Bülow IT Consulting" + subtitle = "Consulting & Support zu IT-Sicherheit, Linux, Hosting, Entwicklung und mehr" + keywords = "" + copyright = "Johannes Bülow" + menuMore = "Mehr anzeigen" + readMore = "Weiterlesen" + readOtherPosts = "Weitere Artikel" + owner = "Johannes Bülow" [languages.de.params.logo] logoText = "JMB IT" diff --git a/content/about/lebenslauf.md b/content/about/lebenslauf.md new file mode 100644 index 0000000..f01f5ac --- /dev/null +++ b/content/about/lebenslauf.md @@ -0,0 +1,24 @@ +--- +title: "Lebenslauf" +date: 2023-09-22 +draft: true +--- + +# Schulausbildung +- 2005-2009 **Grundschule Frankenbach** +- 2009-2018 **Elly-Heuss-Knapp-Gymnasium** in Heilbronn, dort 2016-2018 Kurssprecher + +# Praktika +- März 2015 **Siller Portal Integrators GmbH** in Heilbronn + +# Berufsausbildung +- 2018-2020 Ausbildung zum **Fachinformatiker Systemintegration** + bei Siller Portal Integrators GmbH, + nach Verschmelzung Communardo Software GmbH + +# Berufserfahrung +- seit 2020 Systemadministrator bei SLK-Kliniken Heilbronn + - Schwerpunkte auf Linux/Unix und Datenbanken +- seit 2023 Nebenberufliche Tätigkeit als IT-Berater + - Schwerpunkte IT-Sicherheit und Open Source Software + diff --git a/content/blog/2023-11-30-CAPEv2-Sandbox.md b/content/blog/2023-11-30-CAPEv2-Sandbox.md new file mode 100644 index 0000000..a930de3 --- /dev/null +++ b/content/blog/2023-11-30-CAPEv2-Sandbox.md @@ -0,0 +1,76 @@ +--- +title: "CAPEv2 Sandbox Teil 1" +date: 2023-11-30 +draft: false +--- + +Die CAPEv2-Sandbox-Umgebung ist sehr nützlich für die Analyse von Malware, da man hier die Malware in einer +kontrollierten Umgebung "zünden" kann und eine genaue Protokollierung hat. Die Installation und konfiguration von CAPE +ist jedoch nicht besonders einfach. Dieser Blogeintrag kann Ihnen hoffentlich als Einstieg dienen um sich eine +solche Umgebung aufzubauen. Bei Rückfragen und weiterführenden Themen stehe ich gerne zur Verfügung. + +## Basis +Die Installations- und Konfigurationsskripte von CAPEv2 sind auf Ubuntu 22.04 optimiert. Eine Installation +unter Debian ist ebenfalls mit vergleichsweise wenig Änderungen möglich. Für andere Distributionen und MacOS sind +deutlich weiterführendere Änderungen notwendig, eine Installation unter Microsoft Windows ist nicht möglich. +Bei der Installation in einer Virtuellen Maschine muss "Nesting"-Aktiviert sein. Die Hardware-Anforderungen sind +stark von der geplanten Art und Anzahl von VMs ab. Es ist sinnvoll, mindestens 4 GB für OS und Applikation +einzurechnen, plus den Hardwareressourcen die für die maximale Anzahl an gleichzeitig laufenden VMs benötigt werden. + + +## CAPEv2 Download und Vorbereitungen: +CAPEv2 herunterladen: +```bash +sudo git clone https://github.com/kevoreilly/CAPEv2 /opt/CAPEv2 +``` +Sobald man CAPEv2 heruntergeladen hat, sollte man das Skript `/opt/CAPEv2/installer/kvm-qemu.sh` anpassen. +Die grundsätzliche Anleitung dafür steht in diesem Skript, für den Austausch der \-Einträge für die +Hardware IDs ist die Website der UEFI alliance mit der [Liste der ACPI-IDs](https://uefi.org/ACPI_ID_List). +Für Testinstallationen ist es aber auch möglich, zufällige 4 Zeichen zu nutzen. +sobald dieses Skript angepasst wurde, kann es ausgeführt werden. +```bash +cd /opt/CAPEv2/installer/ +sudo ./kvm-qemu.sh all yourusername | tee kvm-qemu-all.log +# optional +sudo ./kvm-qemu.sh virt-manager yourusername | tee kvm-qemu-virt-manager.log +``` +Hierbei sollte besonders darauf geachtet werden, dass APT auch alle Pakete installieren kann. +Nachdem die installation erfolgreich war, ist es sinnvoll, das System neu zu starten. + +## CAPE installieren +für die Installation von CAPEv2 führt man die folgenden Befehle aus: +```bash +cd /opt/CAPEv2/installer +sudo ./cape.sh all | tee cape-all.log +reboot now +cd /opt/CAPEv2 +sudo -u cape poetry install +poetry env list +sudo -u cape poetry run pip install -r extra/optional_dependencies.txt +reboot now +``` + + +## Internet via Cloudflare-VPN +Es ist sinnvoll, den Internet-Zugang der VMs über einen VPN laufen zu lassen und nicht über das eigene (lokale) Netz. +hierfür können diverse VPN-Anbieter verwendet werden, in diesem Fall nutze ich der Einfachheit halber Cloudflare Warp +mit seiner SOCKS-Proxy-Funktion. +Dafür führt man die folgenden Befehle aus: +```sh +curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg +echo "deb [arch=amd64 signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list +sudo apt-get update && sudo apt-get install cloudflare-warp +warp-cli register --accept-tos +warp-cli set-families-mode off +warp-cli set-mode proxy +warp-cli connect +warp-cli status +ss -tulpn | grep warp # Hier sollte hoffentlich 127.0.0.1:40000 stehen + +``` + +--- +Links: +https://github.com/kevoreilly/CAPEv2 - Github-Seite von CAPEv2 +https://capev2.readthedocs.io/en/latest/# - CAPEv2 offizielle Dokumentation +https://capesandbox.com/ - CAPEv2 öffentliche Demoinstanz