Cuckoo Sandbox on työkalu, jonka avulla voidaan ymmärtää epäilyttävän tiedoston käyttäytymistä, kun se suoritetaan mahdollisen uhrin koneella. Cuckoo ajaa haittaohjelmatiedoston suljetussa virtuaaliympäristössä, mistä nimitys ”Sandbox”.
Cuckoo on arvokas ensimmäiseen automatisoituun selvitystyöhön vaaratilanteisiin reagoitaessa. Voit lähettää mahdollisesti haitallisia tiedostoja ja asiakirjoja, tiedostojen hasheja tai URL-osoitteita analysoitavaksi ”ensisilmäyksellä” ennen kuin lähetät henkilön töihin. Cuckoo voidaan määrittää käyttämään mitä tahansa haittaohjelmatutkimussääntöjä (kuten Virustotal, ReversingLabs, Koodous) ja antamaan tietoja uhkatietojen jakamisalustoille, kuten MISP:lle. Voit myös vertailla analyysejä kahdessa eri virtuaalikoneessa.
Jokainen analyysi tuottaa raportin, jossa pisteytetään tietojen ”haitallisuus”. Raportissa esitetään myös yksityiskohtaisesti tiedostojen perustiedot (koko; tyyppi; hash), allekirjoitukset, joissa kuvataan kaikki toimet, joita haittaohjelmat suorittavat aktivoituessaan, sekä kuvakaappaukset ja mahdolliset pudotetut tiedostot.
Voit rakentaa virtuaaliympäristön tutkimustarpeisiisi sopivaksi. Cuckoo voidaan konfiguroida toimimaan erilaisten virtualisointiympäristöjen kanssa, joissa voidaan käyttää virtuaalikoneita, joissa on mikä tahansa käyttöjärjestelmä ja ohjelmisto. Kaikki ohjelmistot on asennettava, mutta jotkut virtuaalikoneiden rakentajat voivat asentaa automaattisesti ohjelmistopaketit, joihin sinulla on lisenssejä.
Hiekkalaatikkosi on täysin muokattavissa! Voit itse päättää, päivittääkö virtuaalikoneesi Windowsin, käyttääkö se virustorjuntaa vai palomuuria. Yleisesti ottaen mitä haavoittuvampi järjestelmäsi on, sitä parempi se on haittaohjelmien tutkimuksen kannalta. Voit myös päättää, lähetätkö tiedostot VirusTotalille analysoitavaksi vai et.