Cuckoo Sandbox は、疑わしいファイルを潜在的被害者のマシンで実行したときの振る舞いを理解するためのツールです。 Cuckoo は、悪意のあるファイルを封じ込められた仮想環境で実行するため、”Sandbox” というラベルが付いています。
Cuckoo は、インシデント対応における最初の自動トリアージに有用です。 潜在的に悪意のあるファイルやドキュメント、ファイル ハッシュ、または URL を送信して、担当者に作業をさせる前に「初見」の分析を行うことができます。 Cuckooは、任意のマルウェア調査ルールセット(Virustotal、ReversingLabs、Koodousなど)を使用するように設定でき、MISPなどの脅威情報共有プラットフォームにデータを出力することが可能です。 また、2 つの異なる仮想マシン間で分析を比較することもできます。
分析ごとに、データの「悪質さ」をスコアリングしたレポートが作成されます。 このレポートには、基本的なファイル情報 (サイズ、タイプ、ハッシュ)、悪意のあるアイテムがアクティブになったときに取るすべてのアクションを記述した署名、およびスクリーンショットとドロップされたファイルの詳細も記載されます。 Cuckoo は、さまざまな仮想化環境で動作するように設定することができ、あらゆる OS やソフトウェアを搭載した仮想マシンを動作させることができます。 すべてのソフトウェアをインストールする必要がありますが、一部の仮想マシン ビルダーでは、ライセンスを持っているソフトウェア パッケージを自動インストールできます。
Your Sandbox is entirely customizable! 仮想マシンが Windows を更新するかどうか、アンチウィルスを利用するかどうか、ファイアウォールを採用するかどうかは、すべてあなた次第です。 一般に、システムはより脆弱であるほど、マルウェアの調査には有利です。 また、解析のために VirusTotal にファイルを送信するかどうかを決定することも可能です。