CAPEv2 Teil 2
ci/woodpecker/push/woodpecker Pipeline was successful
Details
ci/woodpecker/push/woodpecker Pipeline was successful
Details
parent
4efbcf218e
commit
5ea4082473
|
@ -1,7 +1,7 @@
|
||||||
---
|
---
|
||||||
title: "CAPEv2 Sandbox Teil 2: Einrichtung der VM(s)"
|
title: "CAPEv2 Sandbox Teil 2: Einrichtung der VM(s)"
|
||||||
date: 2023-12-20T14:41:12+01:00
|
date: 2023-12-20T14:41:12+01:00
|
||||||
draft: true
|
draft: false
|
||||||
---
|
---
|
||||||
|
|
||||||
Nach der Installation der Sandbox-Umgebung an sich kann man an die Erstellung und Installation der VMs gehen.
|
Nach der Installation der Sandbox-Umgebung an sich kann man an die Erstellung und Installation der VMs gehen.
|
||||||
|
@ -34,7 +34,7 @@ Diese IP-Addresse muss dann später in der `/opt/CAPEv2/conf/kvm.conf` eingetrag
|
||||||
Ebenfalls sollten UAC und die Windows Firewall deaktiviert werden:
|
Ebenfalls sollten UAC und die Windows Firewall deaktiviert werden:
|
||||||
|
|
||||||
![Windows 7 Control Panel deaktivierte Firewall](/img/blog/2023-cape/win7_firew.png)
|
![Windows 7 Control Panel deaktivierte Firewall](/img/blog/2023-cape/win7_firew.png)
|
||||||
![Windows 7 Control Panel deaktivierte User Accoutn Control](/img/blog/2023-cape/win7_uac.png)
|
![Windows 7 Control Panel deaktivierte User Account Control](/img/blog/2023-cape/win7_uac.png)
|
||||||
|
|
||||||
In der Regel setze ich die Auflösung der VM auch hoch, entweder auf 1280x768 oder 1920x1080. Für die Aktivierung von
|
In der Regel setze ich die Auflösung der VM auch hoch, entweder auf 1280x768 oder 1920x1080. Für die Aktivierung von
|
||||||
Windows 7 und Office 2010 muss leider - sofern man keinen KMS Server besitzt, den man diesen VMs aussetzen möchte - die
|
Windows 7 und Office 2010 muss leider - sofern man keinen KMS Server besitzt, den man diesen VMs aussetzen möchte - die
|
||||||
|
@ -81,4 +81,47 @@ erstellt werden.
|
||||||
|
|
||||||
## VM in CAPE bekanntmachen
|
## VM in CAPE bekanntmachen
|
||||||
|
|
||||||
|
Nun muss noch die `/opt/CAPEv2/conf/kvm.conf`-Datei angepasst werden. In diesem Fall müssen primär "cuckoo1" durch den
|
||||||
|
Namen der VM ersetzt werden (z.B. win7) und die eingetragene IP-Adresse sowie das Netzwerk angepasst werden.
|
||||||
|
In meinem Fall:
|
||||||
|
- cuckoo1 > win7
|
||||||
|
- 192.168.122.105 > 192.168.1.188
|
||||||
|
- virbr0 > virbr1
|
||||||
|
Dazu müssen noch die Tags hinzugefügt werden, z.B. `tags = win7,msoffice2010`. Bei Windows-Maschinen muss (Wie in der
|
||||||
|
Config-File beschrieben), einer der Tags `winxp,win7,win10,win11` hinzugefügt werden. Nun sollte CAPEv2 die VM kennen. Um
|
||||||
|
dies zu testen, sollte man am besten das System noch einmal neu starten, oder alle CAPE-Dienste neu starten.
|
||||||
|
|
||||||
|
Sollte der Dienst weiterhin nicht starten, kann man mit
|
||||||
|
```sh
|
||||||
|
sudo -u cape bash -c "cd /opt/CAPEv2 &&poetry run python /opt/CAPEv2/cuckoo.py"
|
||||||
|
```
|
||||||
|
versuchen, das Programm manuell zu starten und eventuelle Fehler zu debuggen. Hier wird einem auch angezeigt, welche
|
||||||
|
Python-Pakete noch fehlen und ggf. nachinstalliert werden müssen. Dabei sollte beachtet werden, dass diese immer als
|
||||||
|
`cape` im `/opt/CAPEv2/`-Verzeichnis ausgeführt werden müssen.
|
||||||
|
```
|
||||||
|
root@cape:~# systemctl status cape
|
||||||
|
● cape.service - CAPE
|
||||||
|
Loaded: loaded (/lib/systemd/system/cape.service; enabled; vendor preset: enabled)
|
||||||
|
Active: active (running) since Wed 2023-12-27 17:23:29 UTC; 4s ago
|
||||||
|
Docs: https://github.com/kevoreilly/CAPEv2
|
||||||
|
Main PID: 3515 (python)
|
||||||
|
Tasks: 1 (limit: 38183)
|
||||||
|
Memory: 99.4M
|
||||||
|
CPU: 4.149s
|
||||||
|
CGroup: /system.slice/cape.service
|
||||||
|
└─3515 /home/cape/.cache/pypoetry/virtualenvs/capev2-t2x27zRb-py3.10/bin/python cuckoo>
|
||||||
|
```
|
||||||
|
|
||||||
|
## Reporting-Konfiguration
|
||||||
|
|
||||||
|
In der Datei `/opt/CAPEv2/conf/reporting.conf` muss zumindest das Reporting nach MongoDB oder Elasticsearch aktiviert
|
||||||
|
werden, andere Reports können aber ebenfalls aktiviert werden (z.B. PDF-Reports, die einfach weiterzugeben sind).
|
||||||
|
Nach dieser Änderung muss noch einmal der `cape`-Dienst neu gestartet werden (`systemctl restart cape`).
|
||||||
|
|
||||||
|
## CAPE-Web-UI
|
||||||
|
Nun sollte hoffentlich die Web-UI erreichbar sein und funktionieren:
|
||||||
|
|
||||||
|
![CAPEv2 Dashboard](/img/blog/2023-cape/cape_dashboard.png)
|
||||||
|
|
||||||
|
Jetzt kann man unter "Submit" eine Testdatei hochladen, die analysiert werden soll.
|
||||||
|
Dann heißt es nur noch warten und hoffen, dass der Report erfolgreich generiert wird und keine Fehler geworfen werden.
|
||||||
|
|
|
@ -0,0 +1,8 @@
|
||||||
|
---
|
||||||
|
title: "CAPEv2 Sandbox Teil 3: Interaktive Analyse"
|
||||||
|
date: 2023-12-27
|
||||||
|
draft: true
|
||||||
|
---
|
||||||
|
|
||||||
|
|
||||||
|
|
Binary file not shown.
After Width: | Height: | Size: 112 KiB |
Loading…
Reference in New Issue