Linux 用 Windows サブシステムのセットアップ まず Windows Subsystem for Linux をインストールする必要があります ここに良い説明があります :

Similar documents
KDDI ホスティングサービス G120 KDDI ホスティングサービス G200 WordPress インストールガイド ( ご参考資料 ) rev.1.2 KDDI 株式会社 1

1. Microsoft Loopback Adapter のインストール 1) ノートパソコンにおいて そのパソコンの管理者アカウントによりログオンします 2) [ スタート ] > コントロールパネルを開きます 3) 表示方法 : カテゴリの場合には ハードウェアとサウンド > デバイスマネージ

ご利用のコンピュータを設定する方法 このラボの作業を行うには 事前設定された dcloud ラボを使用するか 自身のコンピュータをセットアップします 詳細については イベントの事前準備 [ 英語 ] とラボの設定 [ 英語 ] の両方のモジュールを参照してください Python を使用した Spar

( 目次 ) 1. WordPressインストールガイド はじめに 制限事項 サイト初期設定 WordPressのインストール ( コントロールパネル付属インストーラより ) WordPressのインストール ( 手動インス

目次 1. はじめに 本書対象者 PALRO のアプリケーションについて Ubuntu 8.04LTS の入手について Linux 上での開発環境の構築 事前準備 Ubuntu のインストール..

Microsoft Word - CBSNet-It連携ガイドver8.2.doc

MotionBoard Ver. 5.6 パッチ適用手順書

Oracle Universal Content Management ドキュメント管理 クイック・スタート・チュ-トリアル

Maple 12 Windows版シングルユーザ/ネットワークライセンス

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

PowerPoint Presentation

Microsoft Word JA_revH.doc

テクニカルドキュメントのテンプレート

Taro-QGIS 3.2

Veritas System Recovery 16 Management Solution Readme

IBM Bluemix で WordPress 無料の WordPress 環境を構築する 1

GHS混合物分類判定システムインストールマニュアル

インテル® Parallel Studio XE 2019 Composer Edition for Fortran Windows 日本語版 : インストール・ガイド

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

( 目次 ) 1. PukiWiki インストールガイド はじめに 制限事項 サイト初期設定 PukiWiki のインストール はじめに データベースの作成 PukiWiki

HP Device Manager4.7インストール・アップデート手順書

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

改版履歴 版数 改版日付 改版内容 /03/14 新規作成 2013/03まで製品サイトで公開していた WebSAM DeploymentManager Ver6.1 SQL Server 2012 製品版のデータベース構築手順書 ( 第 1 版 ) を本 書に統合しました 2

[給与]給与奉行LANPACK for WindowsNTのサーバーセットアップのエラー

Microsoft Word - CBESNet-It連携ガイドver8.1.doc

モバイル統合アプリケーション 障害切り分け手順書

MSDM_User_Manual_v0.2.1-B-1

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

目次 1. 動作環境チェック 動作必要環境 Java のインストール Java のインストール Firebird のインストール Firebird のインストール Adobe Reader のインストール

HeartCoreインストールマニュアル(PHP版)

2013年『STSSスキルコミュニティ』 テーマ別Kickoff資料

Microsoft Word - XOOPS インストールマニュアルv12.doc

タイムゾーンの設定 エージェントオプション ESX/ESXi サーバ エージェントオプション仮想アプライアンス ライセンスの入力 管理サーバへの登録 (STEP4)

SonicDICOM Cloud Connector インストール手順書 SonicDICOM Cloud Connector とは 検査装置が撮影した画像を自動的にクラウドへアップロー ドするためのソフトウェアです 1 前準備 クラウド上に PACS を作成する SonicDICOM Cloud

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

目次 1. XQuartz インストール PlayOnMac インストール Wine のアップデート ターミナル インストール MT4/MT 既知の問題 ターミナルデータ案内 14 2

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

インテル® Parallel Studio XE 2019 Composer Edition for Fortran Windows : インストール・ガイド

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

Raspberry Pi 3(Raspbian) での Actian Zen Edge 使用 株式会社エージーテック 2018 年 7 月 5 日

HeartCore(PHP 版 ) インストール手順について説明いたします なお 本資料は 例として下記内容を前提として説明しております 環境情報 対象 OS: Linux ( ディストリビューション : Red Hat Enterprise Linux Server) APサーバ : Apache

ADempiere (3.5)

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

Oracle Business Intelligence Standard Edition One のインストール

Macintosh

音声認識サーバのインストールと設定

intra-mart ワークフローデザイナ

目次 1. 改版履歴 概要 WEB 版薬剤在庫管理システムのインストール 事前準備 インストール アプリケーションのセットアップ WEB 版薬剤在庫管理システムの初期設定

Qlik Sense のシステム要件

Helix Swarm2018.1インストール手順

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

ログイン時の ID パスワードは マイページ と同一です インストール前の状態の場合 ログイン後に表示されるページの ライセンス一覧 に該当製品シリアルの表示はされません インストール完了後 ライセンス管理ページご利用シリアルの一覧が表示されます 以上でライセンス管理ページの作成は完了です なお セ

インストール先 PC 推奨環境 Intel Virtualization Technology 対応 CPU Windows 7 以降 64 bit メモリ 4 GB 以上 ハードディスク空き容量 20 GB 以上 インターネット接続 ( アップデートを うため ) ( 動作を保証するものではありま

Acronis Backup 12.5 Advanced NetAppスナップショット連携

2. システム構成 の運用環境によってインストールするソフトウェアが異なりますので 本項にあわせ次項の構成例もご確認いただき 必要なソフトウェアを選択してください 3 からの変更点は ESMPRO/AC による電源管理を行うために 4 以外に別途 ESMPRO/AC の制御端末となるサーバが必須にな

アーカイブ機能インストールマニュアル

同期を開始する ( 初期設定 ) 2 1 Remote Link PC Sync を起動する 2 1 接続機器の [PIN コード ] [ ユーザー名 ] [ パスワード ] を入力する [PIN コード ] などの情報は 接続機器の設定画面でご確認ください 例 )HLS-C シリーズの場合 :[R

付録

サーバセキュリティサービスアップグレード手順書 Deep Security 9.6SP1 (Windows) NEC 第 1 版 2017/08/23

ICLT 操作マニュアル (2011 年 05 月版 ) Copyright 2011NE 東京株式会社 All Rights Reserved

Macintosh

VPN 接続の設定

DocuWorks Mobile 障害切り分け手順書

ServerView RAID Manager VMware vSphere ESXi 5 インストールガイド

Android アプリを作るための環境設定 Android アプリを作るのに必要なものは Android SDK と Java 開発環境の Eclipse です 環境設定作業の概要はまず Android SDK と Eclipse をそれぞれインストールします その後 Eclipse を起動し An

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

Anaconda x86_64 版バージョン の インストールとパッケージの追加 最終更新 : 2018 年 2 月 10 日 URL: Anaconda は,Py

自己紹介 指崎則夫 ( さしざきのりお ) SCUGJ 運営スタッフ Microsoft MVP

手順書

2

目次 1. 改版履歴 概要 WEB 版薬剤在庫管理システムのインストール 事前準備 インストール アプリケーションのセットアップ 日レセと連携するための有効化設定 WEB

conf_example_260V2_inet_snat.pdf

ServerViewのWebアクセス制限方法

目次 1 VirtualBoot for Hyper-V とは バックアップを実行するマシンの設定 確認すべきこと SPX によるバックアップ VirtualBoot for Hyper-V を実行するマシンの設定 確

Installation Guide for Linux

CLAIM接続利用手順

Microsoft Word - バーチャルクラス(Blackboard)ログイン方法ガイド.docx

Symantec AntiVirus の設定

Veritas System Recovery 16 Management Solution Readme

印刷アプリケーションマニュアル

MIB サポートの設定

Vectorworksサイトプロテクションネットワーク版-情報2

1 検証概要 目的及びテスト方法 1.1 検証概要 Micro Focus Server Express 5.1 J の Enterprise Server が提供する J2EE Connector 機能は 多くの J2EE 準拠アプリケーションサーバーについて動作検証がなされています 本報告書は

V-CUBE One

Microsoft Word - Qsync設定の手引き.docx

PowerPoint プレゼンテーション

============================================================

Net'Attest EPS設定例

SlinkPass ユーザマニュアル

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

Transcription:

Cuckoo&Linux サブシステム : Windows 10 へのいく らかの愛 発行 : 2017/8/25 著者 : Gerald Carsula 私は通常マルウェア解析ラボマシンに Linux を使用しています しかし最近 Windows Subsystem for Linux(WSL) に興味を持っており それを試してみるべきだと思いました 今のところ Linux から 私たちが Trustwave SpiderLabs で使っている Windows のリバースエンジニアリングツールと並んで使う多くのツールにアクセスできるのが楽しいです Cuckoo Sandbox は 私が Linux で使用するツールの 1 つです 私は それがインストールするのが簡単ではない時代から使ってきました しかし Cuckoo 2.0 では pip install cuckoo と同じくらい簡単にできました 私は WSL の調査を始めたいので この投稿を書くことにしました Cuckoo の公式ドキュメントには現在 Windows ホスト上でセットアップする方法に関する情報がないので 試してみたいと思っている人に役立つことを願っています 始めましょう! 最初のステップとして 私は Cuckoo のコンポーネントのどれが WSL の下にインストールできるかを調べました 実際の Linux カーネルを使用していないため WSL ですべてがサポートされているわけではありません これが VirtualBox のようなアプリや tcpdump のようなネットワーキングツールのようなアプリで 現在 WSL の下ではサポートされていない理由です インストールの準備のために WSL 配下にインストール可能なコンポーネントと Windows 配下にインストールされるコンポーネントを分割します たとえば WSL 配下に LAMP サーバー (Linux-Apache-Mysql-Php) をインストールし 残りのツールは Windows ホストにインストールしました Cuckoo は組み込みの Django Web アプリケーションを使用しているので Apache は必須ではありませんが マルウェア分析のために毎日使用しているので 私は Apache をインストールしました これは私がマルウェアを騙し データの抽出プロセスを制御することを可能にします 私はまた デフォルトのデータベース SQLite の代わりに Cuckoo のために MySQL を使用しました Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 1

Linux 用 Windows サブシステムのセットアップ まず Windows Subsystem for Linux をインストールする必要があります ここに良い説明があります :https://msdn.microsoft.com/en-us/commandline/wsl/install_guide WSL をインストールしたら Bash on Ubuntu on Windows アプリを開いて 次のようにします: # 最新のアップデートを入手する $ sudo apt-get update $ sudo apt-get upgrade # LAMP サーバーをインストールする $ sudo apt-get install lamp-server ^ # MongoDB をインストールする $ sudo apt-get install mongodb # Apache MySQL MongoDB を実行する $ sudo service apache2 start $ sudo service mysql start $ sudo service mongodb start ブラウザを開き http://localhost/ に行きます 以下に示すように Apache のデフォルトページが表示されるはずです Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 2

ホストの準備 この場合 Windows 10 は私たちのホストであり そこで Cuckoo や他の依存関係をインストールします Cuckoo は 2.0 で多くの改善を行いました その 1 つはインストールプロセスで 次のように簡単です : C:\> pip install cuckoo オプションで Yara と Volatility もインストールできます Windows で Yara をインストールするには 次の手順に従ってください : http://yara.readthedocs.io/en/v3.4.0/gettingstarted.html#installing-on-windows Volatility をインストールするには 次のコマンドを実行します : C:\> pip install distorm3 C:\> pip install pycrypto C:\> pip install volatility Yara for Python と Volatility が正しくインストールされているかどうかをテストするには エラーなしで以下を実行できるか確認してください : C:\> python -c "import yara" C:\> python -c "import volatility" Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 3

MySQL 用の Python モジュールもインストールする必要があります インストールするには 次のコマンドを実行します : C:\> easy_install mysql-python 注 : この Python モジュールには easy_install を使用しました プレコンパイル済みの Python Egg がすでにリポジトリにアップロードされているようです あなたが pip を望むなら mysql-python の Wheel(.WHL) ファイルをこのリンクからダウンロードし ' pip install <WHEEL_FILE> ' を実行することができます また 適切な開発環境があり ソースから mysql-python をコンパイルしたい場合は 代わりに ' pip install mysql-python ' を実行できます Cuckoo がインストールされ その依存関係が作成されたので これを初期化することができます : C:\> cuckoo init それは次のパスに Cuckoo Working Directory (CWD) を作成します : %USERPROFILE%\.cuckoo(C:\Users\<username>\.cuckoo) CWD セットアップで Cuckoo の設定を開始できます これを行うには Windows エクスプローラーで '%USERPROFILE%.cuckoo conf' に移動し 次の設定ファイルを変更する必要があります : cuckoo.conf [ データベース ] connection = mysql://cuckoo:cuckoo@127.0.0.1/cuckoo # 注 : 私はパスワードとして cuckoo データベース名に cuckoo という MySQL ユーザー cuckoo を作成しました auxillary.conf [sniffer] enabled = yes tcpdump = c:\tools\tcpdump\tcpdump.exe # 注 : ロケーションパスは windump.exe のインストール場所によって異なります そして windump.exe の名前を tcpdump.exe に変更しました Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 4

virtualbox.conf [virtualbox] path = C: Program Files Oracle VirtualBox VBoxManage.exe interface = Device NPF_ {57998A2E-0606-4E86-A107-E7856A3794A3} # 注 : すべてのネットワークインターフェイスを一覧表示するには コマンド : # C:\tools\tcpdump> tcpdump.exe -D machines = cuckoo1 [cuckoo1] label = Win7x64 # ゲストイメージのラベル名 platform = windows ip = 192.168.56.101 # ゲストイメージの host-only adapter のスタティック IP snapshot = cuckoo # スナップショットを作成し それを cuckoo と命名 reporting.conf [mongodb] enabled = yes 次に 次のコマンドを実行して コミュニティベースの Cuckoo Signatures をダウンロードします : C:\> cuckoo community Tcpdump WinDump は基本的には Windows プラットフォーム用の tcpdump で 以下からダウンロードできます : https://www.winpcap.org/windump/install/default.htm WinDump のデフォルトのファイル名は windump.exe です インストール時に tcpdump.exe という名前に変更しました さらに Cuckoo には sniffer.py (C: Python27 Lib site-packages cuckoo auxiliary sniffer.py ) という Tcpdump のラッパーがあります tcpdump を呼び出し その出力を解析します 唯一の問題は Windows での tcpdump の出力が 出力に r を追加する場合と少し違っていることです このため 正しく動作させるためには sniffer.py を微調整する必要がありました 同じ変更を行うには sniffer.py ファイルを開き 次の行に "\r" を追加して編集する必要があります : Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 5

for line in err.split("\r\n"): if not line continue or line.startswith(err_whitelist_start): continue 注 : "\r" が追加されました 次のように編集することもできます : err_whitelist_start =( "tcpdump:listening on", "c:\\tools\\tcpdump\\tcpdump.exe:listening on", ) 注 : パスには tcpdump.exe をインストールした場所への実際のパスが反映されている必要があります また sniffer.py は インターネットアクセスと Cuckoo エージェントとの通信の両方に対して 1 つのネットワークアダプタしか想定していないようです ただしここでの練習では 2 つのネットワークアダプタを使用するようにゲストイメージをセットアップしました このブログの次のセクション ゲストの準備 でこれについてさらに述べます 私は sniffer.py で次のようなコード行を修正し パケットキャプチャの作業を行いました 注 : デフォルト設定では 'virtualbox.conf' に入力した IP からパケットをキャプチャしたいのですが 私の場合はインターネット接続が NAT アダプタを経由します マルウェアのネットワークアクティビティをキャプチャできるようにするため ホストマシンに出入りするパケット ( DESKTOP-FG7MR6D ) をキャプチャします Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 6

ゲストの準備 VirtualBox を使用して仮想マシンを作成し 2 つのネットワークアダプタをセットアップします 1 つは Host-Only で もう 1 つは NAT です Host-Only アダプタは NAT アダプタがインターネットアクセス用である間に Cuckoo によってゲストイメージ内のエージェントと通信するために使用されます Linux での Cuckoo 設定では インターネットアクセスと Cuckoo Agent の両方の通信用に Host-Only アダプタが 1 つだけ必要です 私はまだ Windows ホストでその可能性を探っていませんが もしあなたがするのであれば 私はそれを聞けてうれしいです DHCP を無効にして Host-Only アダプタを構成するには 次の手順を実行します 1. VirtualBox Manager を開く 2. File > Preferences > Network をクリックする 3. Host-only Networks タブをクリックする 4. VirtualBox Host-Only Ethernet Adapter をハイライトし Edit( スクリュードライバのようなアイコン ) をクリックする 5. DHCPServer タブをクリックする 6. Enable Server のチェックを外す Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 7

また ゲストイメージ内にホスト専用アダプタのスタティック IP アドレスがあることを確認してく ださい VirtualBox Host-only アダプタのデフォルトの IP 範囲は 192.168.56.0/24 です 最後 に Windows ファイアウォールを無効にしてください ゲストイメージ内に Python をインストールする必要があります Python インストーラは こちらからダウンロードできます (https://www.python.org/downloads/) Pillow Python モジュールもインストールする必要があります ゲスト画像のスクリーンショットを撮るために Pillow を使用します : C:\> pip install Pillow これで Python がインストールされたので Cuckoo のエージェント ( %USERPROFILE%.cuckoo agent agent.py) をゲストイメージにコピーできます agent.py を実行してから ゲストイメージのスナップショットを作成します Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 8

Cuckoo を使う Cuckoo を使用するには Cuckoo 自体と同様に 組み込みの Web アプリケーションを実行します 次のコマンドを個別に実行できます C:\> Cuckoo d # Cuckoo を実行する Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 9

C:\> cuckoo web runserver # 組み込みの Django Web アプリケーションを実行する処理のために Cuckoo にファイルを送信するには ブラウザを開き http://localhost: 8000/submit/ に行きます この Web ユーザーインターフェイスは Cuckoo のもう一つの改良点です 以下がスクリーンショットです : Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 10

結論 私の最初の興奮は WSL に Cuckoo のコンポーネントをすべてインストールすることができなかったときには小さくなりましたが WSL はまだ初期段階にあり 改善すべき点はまだまだあります ですが 私は今や私のホストとして Windows を持つことができ PC 上で多くの仮想マシンを立てることなく Linux 上で自分の好きなツールを使用することができてうれしいです Microsoft と Canonical の協力によって 最高の 2 つの世界を持つことができそうです Copyright 2017 Trustwave Holdings, Inc. All rights reserved. 11

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック