Cuckoo Sandbox jest narzędziem pozwalającym zrozumieć zachowanie podejrzanego pliku po wykonaniu na maszynie potencjalnej ofiary. Cuckoo uruchamia złośliwy plik w zamkniętym środowisku wirtualnym, stąd etykieta „Sandbox”.
Cuckoo jest cenne dla wstępnego zautomatyzowanego triage’u w odpowiedzi na incydent. Można przesłać potencjalnie złośliwe pliki i dokumenty, skrót plików lub adresy URL do analizy „pierwszego spojrzenia” przed wysłaniem osoby do pracy. Cuckoo może być skonfigurowane do korzystania z dowolnego zestawu reguł badania złośliwego oprogramowania (np. Virustotal, ReversingLabs, Koodous) i przesyłania danych do platform wymiany informacji o zagrożeniach, takich jak MISP. Można również porównać analizy na dwóch różnych maszynach wirtualnych.
Każda analiza generuje raport oceniający „złośliwość” danych. Raport wyszczególnia również podstawowe informacje o pliku (rozmiar, typ, hash), sygnatury opisujące wszystkie działania, jakie złośliwe elementy podejmują po aktywacji, a także zrzuty ekranu i wszelkie upuszczone pliki.
Możesz zbudować środowisko wirtualne odpowiadające Twoim potrzebom badawczym. Cuckoo może być skonfigurowany do pracy z różnymi środowiskami wirtualizacji, które mogą uruchamiać maszyny wirtualne z dowolnym systemem operacyjnym i oprogramowaniem. Całe oprogramowanie musi być zainstalowane, ale niektóre konstruktory maszyn wirtualnych mogą automatycznie instalować pakiety oprogramowania, na które masz licencje.
Twoja piaskownica jest całkowicie konfigurowalna! To, czy twoja maszyna wirtualna będzie aktualizować system Windows, korzystać z programu antywirusowego, czy używać firewalla, zależy od ciebie. Ogólnie rzecz biorąc, im bardziej podatny na ataki jest twój system, tym lepiej dla badań nad złośliwym oprogramowaniem. Możesz również zdecydować, czy chcesz wysyłać pliki do analizy do VirusTotal.