Analizando muestras con Cuckoo: Estructura y comandos (2/5)

Después de conocer las tareas de instalación y configuración de Cuckoo, en esta segunda entrega mostraremos la estructura utilizada por Cuckoo para organizar la información de los análisis. También mostraremos dos alternativas para hacer los análisis a través de línea de comandos o utilizando la interfaz gráfica.

Una vez que tenemos garantizada la conectividad entre la máquina host y la máquina virtual, simplemente debemos ejecutar el servicio de cuckoo sobre nuestro sistema Linux:

Lanzar el servicio Cuckoo

Una vez que el servicio de cuckoo ha sido lanzado queda esperando a que se le indique que es lo que debe analizar.

Comandos para hacer un análisis

Con el servicio inicializado, en una nueva ventana solo resta indicarle a nuestro sistema que tipo de archivo debe analizar. Por ejemplo si la idea es que analice un archivo ejecutable se debe indicar la ruta donde se encuentra el archivo para que inicie el análisis.

Análisis de un archivo malicioso

Cuckoo también permite analizar entre otros tipos de elementos, direcciones URL. Utilizando la misma sintaxis y agregando la opción –url más la dirección que queremos analizar, ponemos a correr el análisis.

Análisis de URL maliciosas

Estructura de las carpetas de análisis

Cada vez que finaliza el análisis de una nueva muestra, Cuckoo almacena toda la información en la carpeta storage.

Estructura de carpetas Cuckoo

Cada nuevo análisis se identifica con un número consecutivo, el cual es el nombre de la carpeta correspondiente a cada nuevo análisis. Dentro de cada carpeta podremos encontrar una estructura donde se almacenan las diferentes instancias del análisis: archivos descargados por la muestra, el log de las actividades que realiza el código malicioso, las capturas de pantalla si es que el malware realiza alguna acción visible, la captura de tráfico (pcap), un archivo con toda la información resumida entre otros archivos.

Reportes Cuckoo

En el tercer post de esta serie sobre el análisis de muestras con Cuckoo, vamos a ver que información interesante podremos encontrar en este tipo de reportes.

Interfaz gráfica

Cuckoo permite además gestionar todo el reporte de muestras y la revisión de informes desde una interfaz web, que incluso puede resultar interesante en el caso que esta herramienta se utilice en un entorno compartido.

Interfaz gráfico Cuckoo

Desde esta interfaz podemos hacer el mismo tipo de análisis que hacíamos desde consola, solamente que resulta más intuitivo y cómodo para visualizar.

En nuestra siguiente entrega, veremos cual es la información que arroja Cuckoo y que tipo de análisis podríamos realizar a partir de todos estos datos. Es importante resaltar que antes de lanzar un nuevo análisis se puede configurar en el archivo processing.conf.

Los invito a que empiecen a realizar análisis sobre archivos que ustedes consideren como maliciosos y compartan con nosotros los resultados obtenidos, además de las dificultades que han tenido para poner en funcionamiento el sistema.

Imagen de Tatters en Flickr. Licencia CC BY 2.0

Autor , ESET

Síguenos