Cuckoo Sandbox

作者:JochenZou
转载请注明出处:http://blog.csdn.net/youkawa/article/details/46563583

高级持续性威胁(APT)攻击检测和防御系统中,除了在各网络边界进行全流量捕获、异常流量检测等工作之外,还需要在终端对流量中提取和还原的负载进行动态分析。这里提到的动态分析主要是将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态行为来判断样本中是否包含恶意代码。沙箱技术是当前恶意代码检测最常用的程序动态分析技术,主要通过分析在网络流量中提取的文件来检测APT的攻击。

Cuckoo sandbox是一款著名的开源沙箱系统,已经被业界广泛采用,如VirusTotal(一个提供免费的可疑文件分析服务的网站,已被谷歌收购)、THREAT STREAM、In3Sec和ITES project等。Cuckoo sandbox基于虚拟化环境所建立的恶意程序分析系统能自动执行并且分析程序行为,完成对以下行为的记录:

  • 恶意程序内部函数与Windows API调用跟踪(API日志);
  • 恶意程序执行期间文件创建、删除与下载的操作;
  • 以PCAP的形式对恶意程序的网络行为进行跟踪(网络日志);
  • 样本的静态数据以及释放文件的行为;
  • 程序执行期间桌面操作截图;
  • 系统操作:文件/注册/互斥/服务;
  • 机器全内存空间dump。

能够实现对以下文件的分析:
exe文件、DLL、PDF 文件、Microsoft Office文件、URL和HTML文件、CPL文件、Visual Basic (VB) 脚本文件、ZIP压缩文件、Java JAR、Python文件等。

生成以下格式的分析报告:

  • JSON report
  • HTML report
  • MAEC report
  • MongoDB interface
  • HPFeeds interface

Cuckoo sandbox架构
Cuckoo sandbox主要由中央管理软件和各分析虚拟机组成。中央管理软件也称为Host machine,负责管理各样本的分析工作,如启动分析工作、行为dump以及生成报告等;分析虚拟机又称为Guest Machine,主要完成对恶意程序的分析以及向中央管理软件报告分析结果等工作。每个分析虚拟机都是一个相对独立干净的执行环境,能安全隔离各恶意程序的执行和分析工作。沙盒的系统架构图如下图所示:

Cuckoo sandbox能够在以下系统环境下运行:
host环境:GNU/Linux (Ubuntu)、Mac OS X
guest环境:Windows XP Service Pack 3、Windows Vista and Windows 7

参考资料:http://www.cuckoosandbox.org/about.html

Cuckoo Sandbox相关推荐

  1. Ubuntu恶意文件分析环境搭建--安装Cuckoo Sandbox记录

    目录 0x01 基础信息 0x02 主机host操作 1.需要安装的依赖: 2.安装tcpdump并确认安装无误: 3.安装pydeep: 4.安装mongodb: 5.安装Volatility: 6 ...

  2. ubuntu20下Cuckoo SandBox安装教程--大踩坑版(一)

    ubuntu20下Cuckoo SandBox安装 说明 天坑1: 系统架构 天坑2: python2.7 python2.7安装 pip2.7安装 天坑3: Cuckoo依赖安装 说明 本文主要参考 ...

  3. 【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析

    [多图超详细]从零开始安装配置Cuckoo sandbox并提交样本进行分析 文章目录 [多图超详细]从零开始安装配置Cuckoo sandbox并提交样本进行分析 1. 功能介绍 1.1主要功能 1 ...

  4. cuckoo sandbox如何使用

    文章目录 前言 一.使用步骤 1.准备好恶意代码 2.启动virtual box 虚拟机 3.启动沙盒 4.接着就可以提交分析了 二.结果 总结 前言 历经千辛万苦,cuckoo sandbox安装终 ...

  5. 认识Cuckoo Sandbox

    老大让我安装一个Cuckoo Sandbox,有亿点点难,尤其是对于我这种只学了密码学和导论的半吊子 网安人,所以打算从0开始,首先就介绍一下杜鹃沙盒 首先要知道什么是沙盒 沙箱:沙箱是一种用于分离正 ...

  6. Ubuntu16.04安装cuckoo sandbox

    一.官方文档 https://cuckoo.sh/docs/ 二.沙盒简介 在计算机安全领域,沙盒(英语:sandbox,又译为沙箱)是一种安全机制,为运行中的程序提供的隔离环境.通常是作为一些来源不 ...

  7. cuckoo sandbox安装

    文章目录 前言 一.虚拟机ubuntu安装步骤 二.具体步骤 三.遇到的问题 总结 前言 看到有些博主写的真的很详细,我就直接放链接了,若侵权联系后删- 在Windows系统上,用虚拟机ubuntu搭 ...

  8. malware analysis、Sandbox Principles、Design Implementation

    catalog 0. 引言 1. sandbox introduction 2. Sandboxie 3. seccomp(short for secure computing mode): API级 ...

  9. 自动化恶意软件分析系统Cuckoo安装、配置详解

    0×00 简述 沙盒(Sanbox) 是一种将未知.不可信的软件隔离执行的安全机制.恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为.网络行为.文件行为 ...

最新文章

  1. P6617 查找 Search 线段树 查找区间内是否有两个和为w的数(w不变)
  2. java 人事_java版简易人事管理系统
  3. mfc 弹簧_弹簧和线程:事务
  4. leetcode 3Sum C++
  5. 存储过程没有执行完后没有释放锁_面试必问---synchronized实现原理及锁升级过程你懂吗?...
  6. android 代码设置居右_Android 开发实现EditText 光标居右显示
  7. 张一鸣这一条微博,阿里P8的我,竟然想了一夜
  8. Ubuntu 20.04 上安装 TeamViewer
  9. hibernate 基础方法(二)【相关配置详解】
  10. Java多态的理解,真实开发详解,带编程,通俗白话文,简单易懂
  11. System与Runtime类
  12. simple php手册,PHP中SimpleXML函数简介
  13. 行业研究报告-全球与中国白光LED电子皮镜市场现状及未来发展趋势
  14. 电脑MAC地址查询方法
  15. 【环境搭建】win10 AMD显卡 opencl环境搭建
  16. kali linux国内源
  17. Javascript带按钮的轮播广告
  18. 电影评论分类:二分类问题 —— R语言实现
  19. 什么是数组,数组的定义,数组的遍历
  20. 2023年电工杯 | 2023年电工杯数学建模竞赛思路(A题、B题)

热门文章

  1. 深度学习网络结构笔记----Depthwise卷积与Pointwise卷积--深度可分卷积-- GoogleNet,Xception,MobileNetv1--v3
  2. 该知道的都知道 不知道的慢慢了解 正则表达式符号大全
  3. 小学机器人编程具体学什么
  4. c++游戏编程(1)开发环境与工具函数
  5. C++第2次实验作业
  6. 致敬第一个1024(第一次Java代码编程)
  7. 图像傅里叶变换(快速傅里叶变换FFT)
  8. 软件开发的43款可视化工具
  9. @DateTimeFormat@JsonFormat注解详解
  10. natapp实现内网穿透(详解)