[Defensive Security] Cuckoo Sandbox 2.0-RC2 번역

CUCKOO SANDBOX 2.0 RELEASE CANDIDATE 2

이번에 Cuckoo Sandbox 2.0 Release Candidate 2를 출시를 발표하게 되어 기쁘다. 이 버전에서는 많은 버그를 수정하고 구성요소와 분석 정확도 그리고 유용성 등 다양한 부분을 개선한다.

다음은 주요 변경사항 목록이다.

• 보고서 공유와 디버깅 사용자 문제를 단순화하기 위한 Import와 Export 분석 기능
• Cuckoo 모니터링의 안정성 향상
• MISP와 IRMA를 통합
• 분석 기능이 분석 대상 시스템의 재부팅에도 생존할 수 있는 기능을 소개(여전히 작업중인 상태)
• 자바스크립트와 VBA 스크립트를 내장한 Office Word / Adobe PDF 분석
• 프로세스 메모리 덤프에서 메모리 내 PE 파일 추출
• 글로벌 검색 기능을 위한 ElasticSearch 통합
• Ubuntu 16.04 지원
• 기타 등등

짧은 요약에서 결론지을 수 있듯이 주안점은 사용자 경험을 기반으로 Cuckoo를 개선하고, 문서를 기반으로 하는 악성코드를 분석하는 기능을 추가했으며 전반적으로 안정성을 도모했다.

새로운 기능과 다양한 가능성을 소개했으므로 일부는 문서화되지 않은 채 배포하고 있으며, 이로 인해 일부 사용자는 그 기능을 사용해볼 수 있다. 이 과정에서 문제를 수정하고 더 많은 블로그 게시물로 지속적으로 문서를 보완할 계획을 가지고 있다. 예를 들면, "네트워크 라우팅마다 분석하는 방법을 알고 있나요?" 같은 문서를 포스팅하는 계획이다.

이러한 계획은 가까운 미래에 도래될 일이다.

UPCOMING: CUCKOO PACKAGE

Cuckoo Sandbox를 개발해온지 6년지 지났다. 그동안 Cuckoo 설치 과정을 간소화하기 위한 시도는 있었지만, 아직까지 제대로 해결되지 않은 다양한 문제가 남아있다. 예를 들어 Cuckoo 인스턴스를 최신 개발 버전으로 업데이트할 때 기존의 Cuckoo 구성 요소를 백업해야 한다. 그렇지 않으면 Git이 새로운 코드로 사용자의 설정을 덮어쓰지 못해 가져올 수 없게 된다. (Git 저장소에 속한 파일로 추적됨)

Cuckoo Sandbox 2.0-RC2는 사용자가 지난 몇 년 동안 사용하고 있는 것으로 알려진 시스템을 사용하는 경우 "lagacy" 릴리즈를 할 것이다. 차기 버전은 pip install cuckoo로 설치하고 pip install -U cuckoo를 통해 업그레이드하는 패키지 기반의 Cuckoo로 진행할 예정이다. 실행중인 Cuckoo나 그에 속한 하위 명령은 cuckoo 명령으로 제어 가능하므로 Cuckoo 유틸리티를 통해 모든 명령이 통합될 것이다.

이 기능은 앞으로 출시될 예정이며, Github의 Pull Request #863 또는 패키지 브런치를 위한 종합 문서에서 Cuckoo 패키지의 새로운 부분에서 자세한 내용을 살펴볼 수 있다. 이로써 사용자 경험을 단순화할 뿐만 아니라 지금까지 까다롭고 시간이 소비되는 릴리즈 프로세스를 간소화할 수 있어 매우 기쁘게 생각한다.

UPCOMING: IMPROVED WEB INTERFACE

웹 인터페이스를 새롭게 고치는데 많은 노력을 기울이고 있고, 늦은 감이 있지만 많은 기능들을 확장하게 되었다. 여기에는 성능 향상, 테마 선택, 분석 요청 옵션 확장 등이 포함된다. 이러한 부분은 블로그나 SNS를 꾸준히 지켜봐 주길 바란다.

UPCOMING: SPOOFING ANTI-ANALYSIS TRICKS BY MALICIOUS DOCUMENTS

스팸 전자 메일에 첨부된 악의적인 문서를 주로 분석하는 사람은 이번에 개발된 Cuckoo를 좋아할 것이다. 예제를 살펴보고 싶다면 PhishMe의 글을 참고하자. 분석되고 있는지 아닌지 결정하기 위해 악성 문서가 인터넷에 연결되어 GeoIP를 수행하는 방법을 설명한다.

이제 HTTP 요청에 대한 응답으로 위장(spoofing)하는 것은 쉬운 일인 것처럼 보일 수 있으나, 적절하고 깔끔하게 구현하기 위해서 많은 작업이 필요하다.

• 전자메일에 첨부하는 방식은 종종 아카이브에서 배포된다. 이 아카이브를 분석하기 위해서 각각의 파일을 별도로 분석해야 한다. 이러한 이유로 새로운 웹 인터페이스를 제작하고 있다.
• 무작정 악성 아카이브는 압축 해제할 수 없다. 해제를 위한 프로세스는 임의의 파일로 덮어쓰는 공격과 다양한 RCE 취약점에 대한 잠재적인 공격을 피하기 위해서라도 샌드박스가 필요하다. ZipJail을 알고 싶다면 Github 페이지에서 자세한 내용을 읽을 수 있다.
• transparent 모드에서 mitmproxy를 실행한다. 일부 트래픽은 우리가 위장하길 원하지만(예, GeoIP 요청의 HTTP 응답을 스푸핑), 대부분은 우리가 구성한 네트워크 경로(no 라우팅, drop 라우팅, dirty line, InetSim, Tor, 여러 개로 구성된 VPN 중 하나를 지원)를 사용하길 원한다. 이 문제를 해결할 수 있는 방법은 다양하지만, 가장 깔끔한 방법은 완전한 형태의 transparent 프록시 모드를 사용하는 것이기에 이 부분을 도움 받았다.
• 향후 필요에 따라 쉽게 확장할 수 있기를 바라며, 분석마다 사용할 수 있는 mitmproxy 플러그인 스크립트를 개발할 예정이다.
• VBA 메서드나 자바스크립트 함수가 호출되는 것과 같은 상위 수준의 동작 정보는 매우 유용하다. 2.0-RC1 릴리즈에서 인터넷 익스플로러 8과 비슷한 작업을 수행했다. Adobe PDF Reader 9뿐만 아니라 Microsoft Office 2007의 특정 버전에 맞춘 기능을 추가했다(이 부분은 이미 2.0-RC2 릴리즈에 포함되었다.)

이 포스트는 단순한 기능을 작업하기 위해 수행해야 할 작업이나 수행된 작업에 대한 요약이다. 많지만 작은 변화들은 곳곳에 널려있고, 사용자들은 큰 변화만큼이나 필요하다고 생각하지 않을 것이다. 하지만 이러한 변화들은 우리를 바쁘게 하고 재미있게 만든다.

CONCLUSIONS

Cuckoo Sandbox를 사용하는 모든 분들께 감사의 인사를 드린다. 의견이 있다면 언제든지 연락주시길 바란다.

이번 버전에도 감사드리며 향후 안정화된 버전인 2.0이 출시되길 기대한다.

기다리는 동안 우리의 Github와 SNS를 팔로우하고, 우리의 컨설팅 서비스에 대해 자세히 알아봐 주시길 바란다.

출처

• https://cuckoosandbox.org/2016-11-16-cuckoo-sandbox-20-rc2.html