16년 02월 06일
구정이다. 시골로 내려가면 이것저것 놀 수 있는게 제한적이어서 항상 노트북을 들고 내려간다. 이번 구정에 연구할 주제는 강의도하고, 연구도 하는 주제인 쿠쿠샌드박스이다. 최근 2.0으로 릴리즈되어 살펴보는데 다양한 기능이 많이 도입되었다. 완벽한 설명과 번역은 아니지만 이번 릴리즈로 새로운 기능과 아이디어는 여기서 찾아 볼 수 있다.
기본적인 윈도우 악성코드 분석을 위한 구축은 쉽게 끝났다. 꾸준히 이전 버전을 테스트하고 운영해왔기 때문이다. 그래서 이번 구정에는 안드로이드 분석 모델을 탑재해볼 생각으로 갖가지 문서들을 참고해보았다. 먼저 쿠쿠 제작자들이 그대로 가져다 쓴 안드로이드 분석 모델은 CuckooDroid 라는 녀석이다. 이 녀석을 살펴보려면 다음 사이트들을 참고하면 된다.
블랙햇 Asia 2015 발표 - https://www.blackhat.com/asia-15/arsenal.html#cuckoodroid-march-26
CuckooDroid 소스코드(발표 PDF는 여기서 찾아볼 수 있음) - https://github.com/idanr1986/cuckoo-droid
CuckooDroid Book - http://cuckoo-droid.readthedocs.org/en/latest/#
CuckooDroid 제작자 소속 기업 Checkpoint의 관련글 - http://blog.checkpoint.com/2015/03/24/cuckoodroid-fighting-tide-android-malware/
설치 및 구성 문서가 존재함에도 불구하고, 실제 구축하고 테스트한 후 정리하여 인터넷에 공개한 사용자들이 없어 보인다. 오로지 Book에 설명된 형태로 따라가야할 필요가 있으며, 더더욱 어렵게 느껴지는 부분은 Cuckoo 팀의 Book에도 저 문서를 참고하라고 설명하고 있다. 또한 동작 방식, 원리, 통합하면서 달라진 부분 등 언급이 되어 있지않아 상당히 고난이 예상된다. 위의 네 가지 자료들을 참고하여 구성한 후 정보를 공개해야겠다.
TODO:
- 리얼 서버를 구성하지 않고 가상머신 인 가상머신으로 구축하는 방법
- 구축 완료 후 다양한 테스트를 진행 하며 발생하는 문제 해결
- 타 기능과 통합 운영 방법 연구
- 구축하기 위한 매뉴얼 제작
- CuckooDroid 번역