diff --git a/content/blog/2023-12-20-cape-part2.md b/content/blog/2023-12-20-cape-part2.md index 060f620..fa2d382 100644 --- a/content/blog/2023-12-20-cape-part2.md +++ b/content/blog/2023-12-20-cape-part2.md @@ -1,7 +1,7 @@ --- title: "CAPEv2 Sandbox Teil 2: Einrichtung der VM(s)" date: 2023-12-20T14:41:12+01:00 -draft: true +draft: false --- Nach der Installation der Sandbox-Umgebung an sich kann man an die Erstellung und Installation der VMs gehen. @@ -34,7 +34,7 @@ Diese IP-Addresse muss dann später in der `/opt/CAPEv2/conf/kvm.conf` eingetrag Ebenfalls sollten UAC und die Windows Firewall deaktiviert werden: ![Windows 7 Control Panel deaktivierte Firewall](/img/blog/2023-cape/win7_firew.png) -![Windows 7 Control Panel deaktivierte User Accoutn Control](/img/blog/2023-cape/win7_uac.png) +![Windows 7 Control Panel deaktivierte User Account Control](/img/blog/2023-cape/win7_uac.png) In der Regel setze ich die Auflösung der VM auch hoch, entweder auf 1280x768 oder 1920x1080. Für die Aktivierung von Windows 7 und Office 2010 muss leider - sofern man keinen KMS Server besitzt, den man diesen VMs aussetzen möchte - die @@ -81,4 +81,47 @@ erstellt werden. ## VM in CAPE bekanntmachen +Nun muss noch die `/opt/CAPEv2/conf/kvm.conf`-Datei angepasst werden. In diesem Fall müssen primär "cuckoo1" durch den +Namen der VM ersetzt werden (z.B. win7) und die eingetragene IP-Adresse sowie das Netzwerk angepasst werden. +In meinem Fall: + - cuckoo1 > win7 + - 192.168.122.105 > 192.168.1.188 + - virbr0 > virbr1 +Dazu müssen noch die Tags hinzugefügt werden, z.B. `tags = win7,msoffice2010`. Bei Windows-Maschinen muss (Wie in der +Config-File beschrieben), einer der Tags `winxp,win7,win10,win11` hinzugefügt werden. Nun sollte CAPEv2 die VM kennen. Um +dies zu testen, sollte man am besten das System noch einmal neu starten, oder alle CAPE-Dienste neu starten. +Sollte der Dienst weiterhin nicht starten, kann man mit +```sh +sudo -u cape bash -c "cd /opt/CAPEv2 &&poetry run python /opt/CAPEv2/cuckoo.py" +``` +versuchen, das Programm manuell zu starten und eventuelle Fehler zu debuggen. Hier wird einem auch angezeigt, welche +Python-Pakete noch fehlen und ggf. nachinstalliert werden müssen. Dabei sollte beachtet werden, dass diese immer als +`cape` im `/opt/CAPEv2/`-Verzeichnis ausgeführt werden müssen. +``` +root@cape:~# systemctl status cape +● cape.service - CAPE + Loaded: loaded (/lib/systemd/system/cape.service; enabled; vendor preset: enabled) + Active: active (running) since Wed 2023-12-27 17:23:29 UTC; 4s ago + Docs: https://github.com/kevoreilly/CAPEv2 + Main PID: 3515 (python) + Tasks: 1 (limit: 38183) + Memory: 99.4M + CPU: 4.149s + CGroup: /system.slice/cape.service + └─3515 /home/cape/.cache/pypoetry/virtualenvs/capev2-t2x27zRb-py3.10/bin/python cuckoo> +``` + +## Reporting-Konfiguration + +In der Datei `/opt/CAPEv2/conf/reporting.conf` muss zumindest das Reporting nach MongoDB oder Elasticsearch aktiviert +werden, andere Reports können aber ebenfalls aktiviert werden (z.B. PDF-Reports, die einfach weiterzugeben sind). +Nach dieser Änderung muss noch einmal der `cape`-Dienst neu gestartet werden (`systemctl restart cape`). + +## CAPE-Web-UI +Nun sollte hoffentlich die Web-UI erreichbar sein und funktionieren: + +![CAPEv2 Dashboard](/img/blog/2023-cape/cape_dashboard.png) + +Jetzt kann man unter "Submit" eine Testdatei hochladen, die analysiert werden soll. +Dann heißt es nur noch warten und hoffen, dass der Report erfolgreich generiert wird und keine Fehler geworfen werden. diff --git a/content/blog/2023-12-27-cape-part-3.md b/content/blog/2023-12-27-cape-part-3.md new file mode 100644 index 0000000..7e02531 --- /dev/null +++ b/content/blog/2023-12-27-cape-part-3.md @@ -0,0 +1,8 @@ +--- +title: "CAPEv2 Sandbox Teil 3: Interaktive Analyse" +date: 2023-12-27 +draft: true +--- + + + diff --git a/static/img/blog/2023-cape/cape_dashboard.png b/static/img/blog/2023-cape/cape_dashboard.png new file mode 100644 index 0000000..8663d1d Binary files /dev/null and b/static/img/blog/2023-cape/cape_dashboard.png differ