Cuckoo Sandbox är ett verktyg för att förstå beteendet hos en misstänkt fil när den exekveras på ett potentiellt offrets maskin. Cuckoo kör den skadliga filen i en begränsad virtuell miljö, därav benämningen ”Sandbox”.
Cuckoo är värdefull för inledande automatiserad triage vid incidenthantering. Du kan skicka in potentiellt skadliga filer och dokument, filhashar eller webbadresser för en ”första titt”-analys innan du sätter en person på jobbet. Cuckoo kan konfigureras för att använda vilken regeluppsättning som helst för forskning om skadlig kod (t.ex. Virustotal, ReversingLabs, Koodous) och skicka ut data till plattformar för utbyte av information om hot som MISP. Du kan också jämföra analyser mellan två olika virtuella maskiner.
Varje analys ger en rapport med poängsättning av ”skadligheten” i uppgifterna. Rapporten innehåller också grundläggande filinformation (storlek, typ, hash), signaturer som beskriver alla åtgärder som det skadliga objektet vidtar när det aktiveras samt skärmdumpar och eventuella tappade filer.
Du kan bygga en virtuell miljö som passar dina forskningsbehov. Cuckoo kan konfigureras för att fungera med en mängd olika virtualiseringsmiljöer, som kan köra virtuella maskiner med valfritt operativsystem och valfri programvara. All programvara måste installeras, men vissa byggare av virtuella maskiner kan automatiskt installera programvarupaket som du har licenser för.
Din sandlåda är helt anpassningsbar! Om din virtuella maskin uppdaterar Windows, använder antivirus eller använder en brandvägg är helt upp till dig. Generellt sett är det så att ju mer sårbart ditt system är, desto bättre för forskning om skadlig kod. Du kan också bestämma om du vill skicka filer till VirusTotal för analys eller inte.