Cuckoo Sandbox is een tool om het gedrag van een verdacht bestand te begrijpen wanneer het uitgevoerd wordt op de machine van een potentieel slachtoffer. Cuckoo voert het kwaadaardige bestand uit in een afgesloten virtuele omgeving, vandaar het label “Sandbox”.
Cuckoo is waardevol voor de eerste geautomatiseerde triage in incident response. U kunt potentieel schadelijke bestanden en documenten, hashes van bestanden, of URL’s indienen voor “first look” analyse voordat u een persoon aan het werk zet. Cuckoo kan worden geconfigureerd om elke regelset voor malwareonderzoek te gebruiken (zoals Virustotal, ReversingLabs, Koodous) en gegevens te exporteren naar platforms voor het delen van bedreigingsinformatie zoals MISP. U kunt ook analyses vergelijken tussen twee verschillende virtuele machines.
Elke analyse produceert een rapport waarin de “kwaadaardigheid” van de gegevens wordt gescoord. Het rapport zal ook gedetailleerde basisinformatie over bestanden bevatten (grootte; type; hash), handtekeningen die alle acties beschrijven die de kwaadaardige items ondernemen wanneer ze worden geactiveerd, en screenshots en eventuele gedropte bestanden.
U kunt een virtuele omgeving bouwen die past bij uw onderzoeksbehoeften. Cuckoo kan worden geconfigureerd om te werken met een verscheidenheid van virtualisatie-omgevingen, die virtuele machines kunnen draaien met elk besturingssysteem en software. Alle software moet worden geïnstalleerd, maar sommige virtuele machine bouwers kunnen automatisch software pakketten installeren waarvoor u licenties heeft.
Uw Sandbox is volledig aanpasbaar! Of uw virtuele machine Windows update, gebruik maakt van antivirus, of een firewall gebruikt, kunt u allemaal zelf bepalen. Over het algemeen geldt, hoe kwetsbaarder uw systeem, hoe beter voor malware onderzoek. U kunt ook besluiten om bestanden wel of niet naar VirusTotal te sturen voor analyse.