Para empezar, nos vamos al PATH, donde tenemos Cuckoo y ejecutamos:
python cuckoo.pyPor pantalla podremos ver algo así:
Ahora Cuckoo cuando lanzemos las tareas de análisis nos irá mostrando por pantalla que va haciendo. Además si por o que fuera tuviéramos algún error nos lo mostraría por pantalla.
Escogemos un binario cualquiera a analizar y se lo pasamos como parámetro al submit de cuckoo, así:
python submit.py troyano.exeEn Cuckoo veremos cosas como:
Cuckoo irá realizando las tareas una por una, hasta acabar.
Cuando acaba, nos genera un reports en varios formatos que podremos consultar mas tarde.
Para verlo hará falta arrancar la parte web, ejecutamos:
python web.pySi no queremos arrancarlo en localhost se le puede pasar como parámetro -t IP -p PUERTO
La web tiene este aspecto:
Si queremos ver un report en concreto, clicamos sobre el MD5 que queramos ver y podemos ver un resumen del binario analizado.
El report está detallado, en conexiones de red, características del binario etc… Además te realiza pantallazos para que puedas ver que ocurre.
Cuckoo también es capaz de analizar URL, para ello debemos de pasarle lo siguiente:
python submit.py -u URL_MALICIOSA -p ieCon esto, Cuckoo abrirá esta URL con Internet Explorer y por ejemplo capturará si se baja algún binario o se crean archivos adicionales.
Como véis Cuckoo ofrece bastante versatilidad como herramienta de análisis de malware.
No hay comentarios:
Publicar un comentario