쿠쿠 샌드박스란?
오픈 소스로 이루어진 자동화된 악성 파일 분석 시스템이다.
격리된 운영체제 내에서 실행 파일을 자동으로 실행, 분석하는 데에 사용된다.
쿠쿠 샌드박스) 주요 기능
1. 악성코드에 의해 수행되는 Windows API 함수 호출 추적
2. 악성코드에 의해 파일 생성 및 복사, 삭제 확인
3. 선택한 프로세스의 메모리 덤프
4. 분석 시스템의 전체 메모리 덤프
5. 악성코드 실행하는 동안 스크린샷(process explorer)
6. 네트워크 덤프 (PCAP format)
+ (추가 분석도구를 이용)
7. Virustotal 검색결과 (기본적으로 연결되며 사용 유무 설정 가능)
8. 실행 압축 확인 (PE file 설치)
9. Fuzzy Hash 확인 (ssdeep 설치)
10. 패턴을 이용하여 악성코드 식별 및 분류 (Yara 설치)
11. 네트워크 트래픽 분석 (tcp dump 설치)
12. 분석을 위한 가상환경 구성 (Virtualbox 설치)
쿠쿠 샌드박스) 얻을 수 있는 정보
1) 악성파일에 의해 생성된 프로세스들에 대한 추적
2) 악성파일이 실행될 때 생성, 삭제, 실행 되는 파일에 대한 감시
3) Memory dumps
4) PCAP 형식의 Network traffic
5) 악성파일이 실행되는 동안의 화면캡쳐
6) 시스템의 전체 메모리 덤프
쿠쿠 샌드박스) 분석 가능 파일
1. 실행파일
2. DLL 파일
3. PDF 문서
4. MS Office 문서
5. URLs 및 HTML 파일
6. PHP 스크립트
7. CPL 파일
8. VB Script
9. ZIP 파일
10. JAR 파일
11. 파이썬 파일
12. 그 외 대부분
쿠쿠 샌드박스) 메인 로직
샘플 실행 및 분석을 처리하는 중앙 관리 소프트웨어로 구성된다.
각각의 분석은 독립된 가상환경에서 처리된다.
Cuckoo 샌드박스의 주요 구성요소는 호스트 컴퓨터와 게스트 머신의 수이다.
호스트 컴퓨터는 분석 머신 및 전체 분석 프로세스를 관리하는 샌드박스의
핵심 구성 요소를 실행한다.
참고자료
https://cuckoosandbox.org/
'Honey Pot > Cuckoo Sandbox' 카테고리의 다른 글
| Cuckoo Sandbox 2.0.7 변경사항 (0) | 2019.12.03 |
|---|---|
| Cuckoo Sandbox v2.0.x 설치 (0) | 2017.10.06 |