Cuckoo Sandbox es una herramienta para entender el comportamiento de un archivo sospechoso cuando se ejecuta en la máquina de una víctima potencial. Cuckoo ejecuta el archivo malicioso en un entorno virtual contenido, de ahí la etiqueta «Sandbox».
Cuckoo es valioso para el triaje automatizado inicial en la respuesta a incidentes. Puede enviar archivos y documentos potencialmente maliciosos, hashes de archivos o URLs para un análisis de «primera vista» antes de poner a una persona a trabajar. Cuckoo puede configurarse para utilizar cualquier conjunto de reglas de investigación de malware (como Virustotal, ReversingLabs, Koodous) y enviar datos a plataformas de intercambio de información sobre amenazas como MISP. También puede comparar el análisis en dos máquinas virtuales diferentes.
Cada análisis produce un informe que califica la «malicia» de los datos. El informe también detallará la información básica del archivo (tamaño; tipo; hash), las firmas que describen todas las acciones que los elementos maliciosos realizan cuando se activan, y las capturas de pantalla y cualquier archivo caído.
Puede construir un entorno virtual que se adapte a sus necesidades de investigación. Cuckoo puede configurarse para trabajar con una variedad de entornos de virtualización, que pueden ejecutar máquinas virtuales con cualquier sistema operativo y software. Todo el software debe ser instalado, pero algunos constructores de máquinas virtuales pueden auto-instalar paquetes de software para los que usted tiene licencias.
¡Su Sandbox es totalmente personalizable! Si su máquina virtual actualiza Windows, utiliza un antivirus o emplea un cortafuegos, todo depende de usted. En general, cuanto más vulnerable sea su sistema, mejor para la investigación de malware. También puedes decidir si enviar o no los archivos a VirusTotal para su análisis.