CAPEv2 Teil 2
ci/woodpecker/push/woodpecker Pipeline was successful Details

gin
Johannes Bülow 2023-12-27 19:00:20 +01:00
parent 4efbcf218e
commit 5ea4082473
Signed by untrusted user who does not match committer: jmb
GPG Key ID: B56971CF7B8F83A6
3 changed files with 53 additions and 2 deletions

View File

@ -1,7 +1,7 @@
---
title: "CAPEv2 Sandbox Teil 2: Einrichtung der VM(s)"
date: 2023-12-20T14:41:12+01:00
draft: true
draft: false
---
Nach der Installation der Sandbox-Umgebung an sich kann man an die Erstellung und Installation der VMs gehen.
@ -34,7 +34,7 @@ Diese IP-Addresse muss dann später in der `/opt/CAPEv2/conf/kvm.conf` eingetrag
Ebenfalls sollten UAC und die Windows Firewall deaktiviert werden:
![Windows 7 Control Panel deaktivierte Firewall](/img/blog/2023-cape/win7_firew.png)
![Windows 7 Control Panel deaktivierte User Accoutn Control](/img/blog/2023-cape/win7_uac.png)
![Windows 7 Control Panel deaktivierte User Account Control](/img/blog/2023-cape/win7_uac.png)
In der Regel setze ich die Auflösung der VM auch hoch, entweder auf 1280x768 oder 1920x1080. Für die Aktivierung von
Windows 7 und Office 2010 muss leider - sofern man keinen KMS Server besitzt, den man diesen VMs aussetzen möchte - die
@ -81,4 +81,47 @@ erstellt werden.
## VM in CAPE bekanntmachen
Nun muss noch die `/opt/CAPEv2/conf/kvm.conf`-Datei angepasst werden. In diesem Fall müssen primär "cuckoo1" durch den
Namen der VM ersetzt werden (z.B. win7) und die eingetragene IP-Adresse sowie das Netzwerk angepasst werden.
In meinem Fall:
- cuckoo1 > win7
- 192.168.122.105 > 192.168.1.188
- virbr0 > virbr1
Dazu müssen noch die Tags hinzugefügt werden, z.B. `tags = win7,msoffice2010`. Bei Windows-Maschinen muss (Wie in der
Config-File beschrieben), einer der Tags `winxp,win7,win10,win11` hinzugefügt werden. Nun sollte CAPEv2 die VM kennen. Um
dies zu testen, sollte man am besten das System noch einmal neu starten, oder alle CAPE-Dienste neu starten.
Sollte der Dienst weiterhin nicht starten, kann man mit
```sh
sudo -u cape bash -c "cd /opt/CAPEv2 &&poetry run python /opt/CAPEv2/cuckoo.py"
```
versuchen, das Programm manuell zu starten und eventuelle Fehler zu debuggen. Hier wird einem auch angezeigt, welche
Python-Pakete noch fehlen und ggf. nachinstalliert werden müssen. Dabei sollte beachtet werden, dass diese immer als
`cape` im `/opt/CAPEv2/`-Verzeichnis ausgeführt werden müssen.
```
root@cape:~# systemctl status cape
● cape.service - CAPE
Loaded: loaded (/lib/systemd/system/cape.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2023-12-27 17:23:29 UTC; 4s ago
Docs: https://github.com/kevoreilly/CAPEv2
Main PID: 3515 (python)
Tasks: 1 (limit: 38183)
Memory: 99.4M
CPU: 4.149s
CGroup: /system.slice/cape.service
└─3515 /home/cape/.cache/pypoetry/virtualenvs/capev2-t2x27zRb-py3.10/bin/python cuckoo>
```
## Reporting-Konfiguration
In der Datei `/opt/CAPEv2/conf/reporting.conf` muss zumindest das Reporting nach MongoDB oder Elasticsearch aktiviert
werden, andere Reports können aber ebenfalls aktiviert werden (z.B. PDF-Reports, die einfach weiterzugeben sind).
Nach dieser Änderung muss noch einmal der `cape`-Dienst neu gestartet werden (`systemctl restart cape`).
## CAPE-Web-UI
Nun sollte hoffentlich die Web-UI erreichbar sein und funktionieren:
![CAPEv2 Dashboard](/img/blog/2023-cape/cape_dashboard.png)
Jetzt kann man unter "Submit" eine Testdatei hochladen, die analysiert werden soll.
Dann heißt es nur noch warten und hoffen, dass der Report erfolgreich generiert wird und keine Fehler geworfen werden.

View File

@ -0,0 +1,8 @@
---
title: "CAPEv2 Sandbox Teil 3: Interaktive Analyse"
date: 2023-12-27
draft: true
---

Binary file not shown.

After

Width:  |  Height:  |  Size: 112 KiB