CAPEv2 Teil 2

2023-12-27 19:00:20 +01:00 · 2023-12-27 19:00:20 +01:00 · 5ea4082473
parent 4efbcf218e
commit 5ea4082473
3 changed files with 53 additions and 2 deletions
--- a/content/blog/2023-12-20-cape-part2.md
+++ b/content/blog/2023-12-20-cape-part2.md
@ -1,7 +1,7 @@
 ---
 title: "CAPEv2 Sandbox Teil 2: Einrichtung der VM(s)"
 date: 2023-12-20T14:41:12+01:00
-draft: true
+draft: false
 ---
 Nach der Installation der Sandbox-Umgebung an sich kann man an die Erstellung und Installation der VMs gehen.
@ -34,7 +34,7 @@ Diese IP-Addresse muss dann später in der `/opt/CAPEv2/conf/kvm.conf` eingetrag
 Ebenfalls sollten UAC und die Windows Firewall deaktiviert werden:
 ![Windows 7 Control Panel deaktivierte Firewall](/img/blog/2023-cape/win7_firew.png)
-![Windows 7 Control Panel deaktivierte User Accoutn Control](/img/blog/2023-cape/win7_uac.png)
+![Windows 7 Control Panel deaktivierte User Account Control](/img/blog/2023-cape/win7_uac.png)
 In der Regel setze ich die Auflösung der VM auch hoch, entweder auf 1280x768 oder 1920x1080. Für die Aktivierung von
 Windows 7 und Office 2010 muss leider - sofern man keinen KMS Server besitzt, den man diesen VMs aussetzen möchte - die
@ -81,4 +81,47 @@ erstellt werden.
 ## VM in CAPE bekanntmachen
 Nun muss noch die `/opt/CAPEv2/conf/kvm.conf`-Datei angepasst werden. In diesem Fall müssen primär "cuckoo1" durch den
 Namen der VM ersetzt werden (z.B. win7) und die eingetragene IP-Adresse sowie das Netzwerk angepasst werden.
 In meinem Fall: 
    - cuckoo1 > win7
    - 192.168.122.105 > 192.168.1.188
    - virbr0 > virbr1
 Dazu müssen noch die Tags hinzugefügt werden, z.B. `tags = win7,msoffice2010`. Bei Windows-Maschinen muss (Wie in der
 Config-File beschrieben), einer der Tags `winxp,win7,win10,win11` hinzugefügt werden. Nun sollte CAPEv2 die VM kennen. Um
 dies zu testen, sollte man am besten das System noch einmal neu starten, oder alle CAPE-Dienste neu starten.  
 Sollte der Dienst weiterhin nicht starten, kann man mit 
 ```sh
 sudo -u cape bash -c "cd /opt/CAPEv2 &&poetry run python /opt/CAPEv2/cuckoo.py"
 ```
 versuchen, das Programm manuell zu starten und eventuelle Fehler zu debuggen. Hier wird einem auch angezeigt, welche 
 Python-Pakete noch fehlen und ggf. nachinstalliert werden müssen. Dabei sollte beachtet werden, dass diese immer als
 `cape` im `/opt/CAPEv2/`-Verzeichnis ausgeführt werden müssen. 
 ```
 root@cape:~# systemctl status cape
 ● cape.service - CAPE
     Loaded: loaded (/lib/systemd/system/cape.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2023-12-27 17:23:29 UTC; 4s ago
       Docs: https://github.com/kevoreilly/CAPEv2
   Main PID: 3515 (python)
      Tasks: 1 (limit: 38183)
     Memory: 99.4M
        CPU: 4.149s
     CGroup: /system.slice/cape.service
             └─3515 /home/cape/.cache/pypoetry/virtualenvs/capev2-t2x27zRb-py3.10/bin/python cuckoo>
 ```
 ## Reporting-Konfiguration
 In der Datei `/opt/CAPEv2/conf/reporting.conf` muss zumindest das Reporting nach MongoDB oder Elasticsearch aktiviert
 werden, andere Reports können aber ebenfalls aktiviert werden (z.B. PDF-Reports, die einfach weiterzugeben sind).
 Nach dieser Änderung muss noch einmal der `cape`-Dienst neu gestartet werden (`systemctl restart cape`).
 ## CAPE-Web-UI
 Nun sollte hoffentlich die Web-UI erreichbar sein und funktionieren:
 ![CAPEv2 Dashboard](/img/blog/2023-cape/cape_dashboard.png) 
 Jetzt kann man unter "Submit" eine Testdatei hochladen, die analysiert werden soll.
 Dann heißt es nur noch warten und hoffen, dass der Report erfolgreich generiert wird und keine Fehler geworfen werden.
--- a/content/blog/2023-12-27-cape-part-3.md
+++ b/content/blog/2023-12-27-cape-part-3.md
@ -0,0 +1,8 @@
 ---
 title: "CAPEv2 Sandbox Teil 3: Interaktive Analyse"
 date: 2023-12-27
 draft: true
 ---
--- a/static/img/blog/2023-cape/cape_dashboard.png
+++ b/static/img/blog/2023-cape/cape_dashboard.png