Cuckoo Sandbox ist ein Tool, mit dem man das Verhalten einer verdächtigen Datei verstehen kann, wenn sie auf dem Computer eines potenziellen Opfers ausgeführt wird. Cuckoo führt die bösartige Datei in einer abgeschlossenen virtuellen Umgebung aus, daher die Bezeichnung „Sandbox“.
Cuckoo ist wertvoll für eine erste automatisierte Triage bei der Reaktion auf einen Vorfall. Sie können potenziell bösartige Dateien und Dokumente, Datei-Hashes oder URLs für eine „First Look“-Analyse einreichen, bevor Sie eine Person damit beauftragen. Cuckoo kann so konfiguriert werden, dass es ein beliebiges Malware-Regelwerk (z. B. Virustotal, ReversingLabs, Koodous) verwendet und Daten an Plattformen zum Austausch von Bedrohungsinformationen wie MISP ausgibt. Sie können auch Analysen auf zwei verschiedenen virtuellen Maschinen vergleichen.
Jede Analyse erstellt einen Bericht, der die „Bösartigkeit“ der Daten bewertet. Der Bericht enthält außerdem die grundlegenden Dateiinformationen (Größe, Typ, Hash), Signaturen, die alle Aktionen beschreiben, die die bösartigen Elemente bei ihrer Aktivierung ausführen, sowie Screenshots und alle abgelegten Dateien.
Sie können eine virtuelle Umgebung aufbauen, die Ihren Forschungsanforderungen entspricht. Cuckoo kann so konfiguriert werden, dass es mit einer Vielzahl von Virtualisierungsumgebungen arbeitet, in denen virtuelle Maschinen mit beliebigen Betriebssystemen und Software ausgeführt werden können. Alle Software muss installiert werden, aber einige Virtual Machine Builder können automatisch Softwarepakete installieren, für die Sie Lizenzen besitzen.
Ihre Sandbox ist vollständig anpassbar! Ob Ihre virtuelle Maschine Windows aktualisiert, ein Antivirenprogramm einsetzt oder eine Firewall verwendet, bleibt Ihnen überlassen. Generell gilt: Je anfälliger Ihr System ist, desto besser für die Malware-Forschung. Sie können auch entscheiden, ob Sie Dateien zur Analyse an VirusTotal senden wollen oder nicht.