Cuckoo Sandbox é uma ferramenta para entender o comportamento de um arquivo suspeito quando executado na máquina de uma vítima potencial. O Cuckoo executa o arquivo malicioso em um ambiente virtual contido, daí o rótulo “Sandbox”.
Cuckoo é valioso para a triagem automatizada inicial na resposta ao incidente. Você pode submeter arquivos e documentos potencialmente maliciosos, hashes de arquivos ou URLs para análise de “primeira vista” antes de colocar uma pessoa no trabalho. O Cuckoo pode ser configurado para usar qualquer conjunto de regras de pesquisa de malware (como Virustotal, ReversingLabs, Koodous) e dados de saída para plataformas de compartilhamento de informações ameaçadoras, como MISP. Você também pode comparar análises em duas máquinas virtuais diferentes.
Cada análise produz um relatório pontuando a “maliciosidade” dos dados. O relatório também detalha as informações básicas do arquivo (tamanho; tipo; hash), assinaturas descrevendo todas as ações que os itens maliciosos tomam quando ativados, e capturas de tela e quaisquer arquivos descartados.
Você pode construir um ambiente virtual para atender às suas necessidades de pesquisa. O Cuckoo pode ser configurado para trabalhar com uma variedade de ambientes de virtualização, que podem executar máquinas virtuais com qualquer sistema operacional e software. Todos os softwares devem ser instalados, mas alguns construtores de máquinas virtuais podem auto-instalar pacotes de software para os quais você tem licenças.
Sua Sandbox é totalmente personalizável! Se a sua máquina virtual atualiza o Windows, utiliza antivírus ou emprega um firewall, tudo depende de você. Em geral, quanto mais vulnerável for o seu sistema, melhor para a pesquisa de malware. Você também pode decidir se deseja ou não enviar arquivos para a VirusTotal para análise.