Cuckoo Sandbox est un outil permettant de comprendre le comportement d’un fichier suspect lorsqu’il est exécuté sur la machine d’une victime potentielle. Cuckoo exécute le fichier malveillant dans un environnement virtuel contenu, d’où le label « Sandbox ».
Cuckoo est précieux pour le triage automatisé initial dans la réponse aux incidents. Vous pouvez soumettre des fichiers et documents potentiellement malveillants, des hachages de fichiers ou des URL pour une analyse de » premier regard » avant de mettre une personne sur le coup. Cuckoo peut être configuré pour utiliser n’importe quel jeu de règles de recherche de logiciels malveillants (comme Virustotal, ReversingLabs, Koodous) et transmettre les données à des plateformes de partage d’informations sur les menaces comme MISP. Vous pouvez également comparer les analyses sur deux machines virtuelles différentes.
Chaque analyse produit un rapport notant la « malveillance » des données. Le rapport détaillera également les informations de base sur les fichiers (taille ; type ; hachage), les signatures décrivant toutes les actions que les éléments malveillants prennent lorsqu’ils sont activés, ainsi que les captures d’écran et tous les fichiers déposés.
Vous pouvez construire un environnement virtuel pour répondre à vos besoins de recherche. Cuckoo peut être configuré pour fonctionner avec une variété d’environnements de virtualisation, qui peuvent exécuter des machines virtuelles avec n’importe quel système d’exploitation et logiciel. Tous les logiciels doivent être installés, mais certains constructeurs de machines virtuelles peuvent installer automatiquement les progiciels pour lesquels vous avez des licences.
Votre bac à sable est entièrement personnalisable ! Vous pouvez décider si votre machine virtuelle met à jour Windows, utilise un antivirus ou emploie un pare-feu. De manière générale, plus votre système est vulnérable, mieux c’est pour la recherche de logiciels malveillants. Vous pouvez également décider d’envoyer ou non des fichiers à VirusTotal pour analyse.