Giters

ThA33 / CuckooTH

Cuckoo منصة تحليل البرمجيات الضارة

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

المقدمة

تستخدم منصة تحليل البرمجيات الضارة “Cuckoo” لتحليل البرامج والملفات الضارة والغير موثوقة وغير معروفة. وتتم عملية التحليل للملفات داخل بيئة معزولة حيث يتم تشغيل الملف وتحليل الاكواد البرمجية وتحليل السلوكيات التي يقوم بها الملف عبر النظام أو الشبكة. ولجعل المنصة ذات قيمة تم ربطها مع منصة “MISP” التي تحتوي على قاعدة بيانات كبيرة جدا من مؤشرات الاختراق IOCs التي يتم تحديثها بشكل مستمر من قبل المجتمع المعني بمشاركة التهديدات التي تشكل خطرا على الأنظمة والشبكات، وكذلك تم ربط هذه المنصة بأداة "Moloch" والتي تساعد في تحليل تدفق حزم البيانات التي تخرج من الشبكة اثناء تحليل البرمجيات الخبيثة.

المميزات:

  • اضافة وربط منصة MISP
  • اضافة وربط أداة Moloch
  • متوافق مع نسخة 18.04 من نظام Ubuntu
  • يعمل على مواصفات منخفضة 4RAM و 2 Processor (يفضل رفعها لأداء أسرع)

منصة Cuckoo

تعمل المنصة على عزل البرامج الغير معروفة والغير الموثوقة وتنفيذها. حيث يتم استخدام المنصة لتحليل البرامج الضارة ديناميكيًا في بيئة معزولة، ثم استخراج السلوكيات الديناميكية مثل سلوك العملية وسلوك الشبكة أثناء تشغيله.


للتحميل من هنا [تنبيه: تم تجربته فقط على VMWare]





















منصة MISP

منصة مفتوحة المصدر لمشاركة المعلومات في مجال الأمن السيبراني وهي عملية تبادل المعلومات بين المهتمين في الحماية على مستوى العالم لرفع مستوى حماية البنى التحتية من خلال مشاركة مؤشرات الاختراق IOCs فيما بينهم.(جميع الملفات التي يتم تحليلها من خلال Cuckoo يتم تخزينها في النظام الداخلي ولا يتم مشاركتها باي شكل من الاشكال مع المجتمع حتى تقوم بالسماح بذلك )














منصة Moloch

تستخدم لتسجيل والتقاط واجراء عمليات البحث عند مرور حزم البيانات عبر الشبكة مما تساعد المحلل بمعرفة سلوكيات الملف المشبوة في الشبكة.















طريقة الاستخدام

معلومات تسجيل الدخول

  • أسم المستخدم: cuckoo
  • كلمة السر: students

فتح ثلاثة نوافذ أوامر طرفية والكتابة كل أمر في طرفية مختلفة

  • الامر الاول: cuck1
  • الامر الثاني: cuck2
  • الامر الثالث: cuck3







































  1. يرمز الى رقم الحادثة التي تطابقت مع تحليل منصة Cuckoo
  2. يرمز الى تاريخ إضافة الحادثة الى قاعد بيانات MISP
  3. يرمز الى مؤشر الاختراق الذي تطابق مع قاعدة بيانات MISP وهنا يظهر لنا تطابق الهاش
  4. هنا توضيح بعض المعلومات عن الحادثة







































مشاكل و حلول

الخطأ الحل
CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1 فتح برنامج الVirtualbox وتشغيل نظام الويندوز بشكل يدوي
فشل الاتصال في اداة Moloch service molochviewer stop && service molochviewer start#~
لحذف الملفات من قاعدة البيانات cuckoo clean#~

About

Cuckoo منصة تحليل البرمجيات الضارة

License:GNU General Public License v3.0