Cuckoo Sandbox je nástroj pro pochopení chování podezřelého souboru při spuštění na počítači potenciální oběti. Cuckoo spouští škodlivý soubor v uzavřeném virtuálním prostředí, odtud označení „Sandbox“.
Cuckoo je cenný pro počáteční automatizované třídění při řešení incidentů. Potenciálně škodlivé soubory a dokumenty, hashe souborů nebo adresy URL můžete odeslat k analýze „prvního pohledu“ ještě před nasazením pracovníka. Aplikaci Cuckoo lze nakonfigurovat tak, aby používala libovolnou sadu pravidel pro výzkum malwaru (například Virustotal, ReversingLabs, Koodous) a výstupní data do platforem pro sdílení informací o hrozbách, jako je MISP. Můžete také porovnávat analýzy ve dvou různých virtuálních počítačích.
Každá analýza vytvoří zprávu s hodnocením „škodlivosti“ dat. Zpráva také podrobně uvede základní informace o souboru (velikost; typ; hash), signatury popisující všechny akce, které škodlivé položky po aktivaci provedou, a snímky obrazovky a případné shozené soubory.
Můžete si vytvořit virtuální prostředí podle svých výzkumných potřeb. Aplikaci Cuckoo lze nakonfigurovat pro práci s různými virtualizačními prostředími, ve kterých lze provozovat virtuální počítače s libovolným operačním systémem a softwarem. Veškerý software je nutné nainstalovat, ale některé nástroje pro tvorbu virtuálních počítačů mohou automaticky instalovat softwarové balíčky, na které máte licence.
Vaše pískoviště je zcela přizpůsobitelné! Záleží jen na vás, zda váš virtuální počítač bude aktualizovat systém Windows, používat antivirový program nebo bránu firewall. Obecně platí, že čím zranitelnější je váš systém, tím lépe pro výzkum malwaru. Můžete se také rozhodnout, zda se budou soubory odesílat k analýze na VirusTotal.
.