Cuckoo Sandbox er et værktøj til at forstå, hvordan en mistænkelig fil opfører sig, når den udføres på et potentielt offers maskine. Cuckoo kører den skadelige fil i et begrænset virtuelt miljø, deraf betegnelsen “Sandbox”.
Cuckoo er værdifuld til indledende automatiseret triage i forbindelse med respons på hændelser. Du kan indsende potentielt skadelige filer og dokumenter, filhashes eller URL’er til “first look”-analyse, før du sætter en person på opgaven. Cuckoo kan konfigureres til at bruge et hvilket som helst regelsæt til malwareforskning (f.eks. Virustotal, ReversingLabs, Koodous) og output data til platforme til deling af trusselsinformation som MISP. Du kan også sammenligne analyser på tværs af to forskellige virtuelle maskiner.
Hver analyse producerer en rapport, der scorer dataenes “ondskabsfuldhed”. Rapporten indeholder også detaljerede oplysninger om de grundlæggende filoplysninger (størrelse; type; hash), signaturer, der beskriver alle de handlinger, som de skadelige elementer foretager, når de aktiveres, samt skærmbilleder og eventuelle tabte filer.
Du kan opbygge et virtuelt miljø, der passer til dine forskningsbehov. Cuckoo kan konfigureres til at arbejde med en række forskellige virtualiseringsmiljøer, som kan køre virtuelle maskiner med et hvilket som helst operativsystem og software. Al software skal installeres, men nogle virtual machine builders kan automatisk installere softwarepakker, som du har licenser til.
Din sandkasse kan helt tilpasses! Om din virtuelle maskine opdaterer Windows, bruger antivirus eller anvender en firewall er helt op til dig. Generelt gælder det, at jo mere sårbart dit system er, jo bedre er det for malware-forskningen. Du kan også beslutte, om du vil sende filer til VirusTotal til analyse eller ej.