A Cuckoo Sandbox egy olyan eszköz, amely megérti egy gyanús fájl viselkedését, amikor egy potenciális áldozat gépén végrehajtják. A Cuckoo a rosszindulatú fájlt egy zárt virtuális környezetben futtatja, innen a “Sandbox” elnevezés.
A Cuckoo értékes a kezdeti automatizált triázshoz az incidensek kezelésében. Elküldheti a potenciálisan rosszindulatú fájlokat és dokumentumokat, fájlhasheket vagy URL-eket “első ránézésre” elemzésre, mielőtt egy embert küldene a feladatra. A Cuckoo konfigurálható úgy, hogy bármilyen rosszindulatú szoftverek kutatására szolgáló szabálykészletet (például Virustotal, ReversingLabs, Koodous) használjon, és adatokat adjon ki a fenyegetésekkel kapcsolatos információk megosztására szolgáló platformokra, például a MISP-re. Az elemzéseket két különböző virtuális gépen is össze lehet hasonlítani.
Minden elemzés egy jelentést készít, amely pontozza az adatok “rosszindulatúságát”. A jelentés részletezi az alapvető fájlinformációkat (méret; típus; hash), a rosszindulatú elemek aktiválásakor végrehajtott összes műveletet leíró aláírásokat, valamint a képernyőképeket és az esetlegesen elejtett fájlokat is.
Az Ön kutatási igényeinek megfelelő virtuális környezetet építhet. A Cuckoo úgy konfigurálható, hogy különböző virtualizációs környezetekkel működjön együtt, amelyek bármilyen operációs rendszerrel és szoftverrel rendelkező virtuális gépeket futtathatnak. Minden szoftvert telepíteni kell, de egyes virtuálisgép-építők képesek automatikusan telepíteni azokat a szoftvercsomagokat, amelyekre Ön rendelkezik licencekkel.
A homokozója teljesen testre szabható! Öntől függ, hogy a virtuális gép frissíti-e a Windows-t, használ-e vírusirtót vagy alkalmaz-e tűzfalat. Általánosságban elmondható, hogy minél sérülékenyebb a rendszere, annál jobb a rosszindulatú programok kutatása szempontjából. Azt is eldöntheti, hogy küldjön-e fájlokat a VirusTotalnak elemzésre.