it-swarm-ja.com

CuckooSandboxはmemory.dmpを生成しません

ボラティリティで分析できるようにするために、CuckooSandboxとそのメモリダンプに問題があります。

メモリダンプが正常に生成されたが、見つからないためアクセスできないことを示すCuckooのログファイル。ディレクトリでそれらを手動で検索すると、それらが存在しないことが確認されます。 Cuckooは、有効になっているcuckoo.confでmemory_dumpを有効にするように指示します。

カッコウ:2.0.6ホスト:Ubuntu 18.04.1 LTSゲスト:Win7 Ultimate、Service Pack 1、32ビット

cuckoo.conf

memory_dump = yes

memory.conf

guest_profile = Win7SP1x86
delete_memdump = no

processing.conf

[memory]
enabled = yes
INFO: Successfully generated memory dump for virtual machine with label Win7 to path /home/test/.cuckoo/storage/analyses/1/memory.dmp
[...]
ERROR: VM memory dump not found: to create VM memory dumps you have to enable memory_dump in cuckoo.conf!

どんな種類の助けもありがたいです。私からの情報がさらに必要な場合はお知らせください

編集:フルマシンのメモリダンプのみが生成されていません。マルウェアが新しいプロセスに注入されると、report.jsonに示すようにメモリダンプが生成されます。

INFO: injected into process with pid 3844 and name 'iexplorer.exe'
INFO: memory dump of process with pid 3844 completed

また、ディレクトリに3844-1.dmpファイルがあります。

1
pharZyde

何度も試した結果、問題は次のとおりであることがわかりました。

_/lib/python2.7/site-packages/cuckoo/machinery/virtualbox.py
_

このファイルを最新バージョンに置き換えると、メモリダンプは正常に機能しますが、他の問題が発生する可能性があるため、ソースからcuckooをインストールするのが最善の方法だと思います。また、_agent.py_を最新のもの(バージョン0.10)に置き換える必要があります。 pipを使用してcuckooをインストールすると、最新バージョンがありません。

私が試したことを結論付けるには(最初のものを試す必要があります):

  1. Cuckooが使用するのと同じコマンドを使用してメモリダンプを試行しました。

    _VBoxManage debugvm yourvmname dumpvmcore --filename=memory.dmp
    _

    正常に動作するため、問題はカッコウの呼び出しにあり、VMやボラティリティなどにはありません。

  2. 成功せずに試しました:

    • カッコウは_--memory options_で送信し、設定ファイルはあなたのものと同じでしたが、成功しませんでした。
    • ボラティリティのさまざまなプロファイル
    • 異なるVM、同じOS
    • 別のインストール、別のコンピューター、別のVirtualboxバージョン(6.0.6ではなく6.0.8)。

_virtualbox.py_と_agent.py_を最新バージョンに置き換えると、問題が解決しました。お役に立てれば幸いです。これは私の論文の重要な部分です。メモリダンプがないと、紙はありません。

2019年6月19日更新

交換するだけの場合:

if output.startswith("5"): for if output.startswith(("5", "6")):

_line 361_の_/lib/python2.7/site-packages/cuckoo/machinery/virtualbox.py_

問題を解決するには十分なはずですが、ご覧のとおり、Cuckoo2.0.6はVbox6.xで動作する準備ができていないため、この修正を行っても、他の問題が発生する可能性があります。または、cuckooを不安定なバージョンに更新するか、Vbox5.xに戻ります。

1
Sunfloro