Cuckoo Sandbox è uno strumento per capire il comportamento di un file sospetto quando viene eseguito sulla macchina di una potenziale vittima. Cuckoo esegue il file dannoso in un ambiente virtuale contenuto, da cui l’etichetta “Sandbox”.
Cuckoo è prezioso per il triage automatico iniziale nella risposta agli incidenti. È possibile inviare file e documenti potenzialmente dannosi, hash di file o URL per un’analisi “first look” prima di mettere una persona al lavoro. Cuckoo può essere configurato per utilizzare qualsiasi set di regole per la ricerca di malware (come Virustotal, ReversingLabs, Koodous) e inviare i dati in uscita a piattaforme di condivisione delle informazioni sulle minacce come MISP. È anche possibile confrontare le analisi su due diverse macchine virtuali.
Ogni analisi produce un rapporto che valuta la “malignità” dei dati. Il rapporto dettaglierà anche le informazioni di base sui file (dimensioni; tipo; hash), le firme che descrivono tutte le azioni che gli elementi dannosi intraprendono quando vengono attivati, e gli screenshot ed eventuali file caduti.
È possibile costruire un ambiente virtuale per soddisfare le vostre esigenze di ricerca. Cuckoo può essere configurato per lavorare con una varietà di ambienti di virtualizzazione, che possono eseguire macchine virtuali con qualsiasi sistema operativo e software. Tutto il software deve essere installato, ma alcuni costruttori di macchine virtuali possono installare automaticamente i pacchetti software per i quali hai le licenze.
La tua Sandbox è interamente personalizzabile! Se la tua macchina virtuale aggiorna Windows, utilizza un antivirus o un firewall, dipende solo da te. In generale, più il tuo sistema è vulnerabile, meglio è per la ricerca di malware. Puoi anche decidere se inviare o meno i file a VirusTotal per l’analisi.