Cuckoo Sandbox este un instrument pentru a înțelege comportamentul unui fișier suspect atunci când este executat pe calculatorul unei potențiale victime. Cuckoo rulează fișierul malițios într-un mediu virtual conținut, de unde și eticheta „Sandbox”.
Cuckoo este valoros pentru triajul inițial automatizat în răspunsul la incidente. Puteți trimite fișiere și documente potențial malițioase, hașuri de fișiere sau URL-uri pentru o analiză „la prima vedere” înainte de a pune o persoană la treabă. Cuckoo poate fi configurat pentru a utiliza orice set de reguli de cercetare a programelor malware (cum ar fi Virustotal, ReversingLabs, Koodous) și pentru a transmite datele către platforme de partajare a informațiilor despre amenințări, cum ar fi MISP. De asemenea, puteți compara analizele între două mașini virtuale diferite.
Care analiză produce un raport care notează „malițiozitatea” datelor. Raportul va detalia, de asemenea, informațiile de bază ale fișierului (dimensiune; tip; hash), semnăturile care descriu toate acțiunile pe care elementele malițioase le întreprind atunci când sunt activate, precum și capturi de ecran și orice fișiere abandonate.
Puteți construi un mediu virtual care să se potrivească nevoilor dumneavoastră de cercetare. Cuckoo poate fi configurat pentru a funcționa cu o varietate de medii de virtualizare, care pot rula mașini virtuale cu orice sistem de operare și software. Toate programele trebuie instalate, dar unii constructori de mașini virtuale pot auto-instala pachete software pentru care aveți licențe.
Sandbox-ul dvs. este complet personalizabil! Dacă mașina dvs. virtuală actualizează Windows, utilizează antivirus sau folosește un firewall, toate acestea depind de dvs. În general, cu cât sistemul dvs. este mai vulnerabil, cu atât mai bine pentru cercetarea malware-ului. De asemenea, puteți decide dacă să trimiteți sau nu fișiere către VirusTotal pentru analiză.