Bech0r.net

From Geeks for Geeks

CUCKOO SANDBOX

MALWARE-ANAYLSE FÜR ZUHAUSE

Erstellen Sie Ihre eigene Sandbox für die Malware-Analyse, um das Verhalten unbekannter Dateien schnell zu überprüfen. Dieser Artikel erklärt, wie es mit dem kostenlosen Open Source Sandbox Cuckoo funktioniert.

Das Sandboxsystem wird verwendet, um potenzielle Malware dynamisch zu analysieren. Dadurch werden die Dateien in einer sicheren, meist virtualisierten Umgebung ausgeführt und alle Systemaufrufe protokolliert. Im Profisegment werden häufig kommerzielle Systeme wie das Cisco Threat Grid eingesetzt, die von Herstellern gewartet werden und auch von unerfahrenen Analysten recht einfach zu bedienen sind. Diese Systeme sind jedoch teuer, und IT-Studenten oder andere Malware-Interessierte können mit Cuckoo ihr eigenes kostenloses Sandbox-Analysesystem erstellen.

 

Hardware-Anforderungen für Cuckoo Sandbox

Es gibt keine besonderen Anforderungen an die Hardwareausstattung. Die Anforderungen an den minimalen Arbeitsspeicher betragen 2 GB (für die Virtualisierung) und den freien Platz auf der Festplatte von ca. 40 GB.

  • – Prozessor mit VT-x o.a Virtualisierung 
  • – >4 GB RAM
  • – 320 GB HDD

1. Funktionen

  • Erkennen von Aufrufen, die von allen Prozessen ausgeführt werden, die durch die Malware hervorgerufen wurden.
  • Dateien, die von der Malware während ihrer Ausführung erstellt, gelöscht und heruntergeladen werden.
  • Speicherabbilder der Malware-Prozesse.
  • Netzwerkverkehrsverfolgung im PCAP-Format.
  • Screenshots, die während der Ausführung der Malware erstellt wurden.
  • Vollständige Speicherauszüge der Maschinen.

2. GALLERIE

3. GENERELLES ZU CUCKOO

Die Installation von Cuckoo ist relativ einfach, kostet aber viel Zeit. Als Grundgerüst wird eine Linux-Umgebung benötigt. Am reibungslosesten funktioniert das mit Ubuntu. Da die Installation eine Menge an Schritten vorsieht verlinke ich zu einer Seite wo der Installationsweg (auf Englisch) gut beschrieben wird.

Hier geht’s zum Artikel:

Cuckoo Installation Guide: Malware Sandboxing – Part 1

Die Entwicklerseite findet man hier: 

https://cuckoosandbox.org/

 

Abschließend kann man sagen das Cuckoo ein geniales KOSTENSLOSES Framework zur Untersuchung von Malware und verdächtigen Dateien ist. Wenn man die Module die in dem Framework vorhanden ist manuell zur Analyse einsetzen will, würde man sich für ein Sample ewig Zeit nehmen müssen. AUTOMATISIERUNG IST GEIL!!!111!

Geek - IT enthusiast - networks of the future - Erleben was verbindet
Dennis Becher
Autor & Admin

Post Author: Dennis "Der Admin" Becher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.