herramienta cuckoo sandbox
Páginas: 6 (1500 palabras)
Publicado: 22 de febrero de 2015
¿Qué es el cuckooo Sandbox?
En tres palabras, Cuckooo Sandbox es un sistema de análisis de malware.
Qué significa eso? Simplemente significa que usted puede lanzar cualquier archivo sospechoso en él y en cuestión de segundos cuco va a proporcionar una copia de algunos resultados detallados que describen lo que existe el fichero hizo cuando se ejecuta dentro de un entorno aislado.
¿Porqué debería usarlo?
Malware es el cuchillo suizo del ejército de los criminales cibernéticos y cualquier otro adversario para su empresa u organización.
En estos tiempos cambiantes, la detección y eliminación de malware artefactos no es suficiente: es de vital importancia para entender cómo funcionan y lo que iban a hacer / lo hizo en sus sistemas cuando se despliega y entender el contexto, lasmotivaciones y los objetivos de una violación.
De esta manera, usted es capaz de entender de manera más eficaz el incidente, responder a él y protegerse a sí mismo para el futuro.
Hay infinitos otros contextos en los que puede que tenga que desplegar una caja de arena internamente, desde el análisis de una violación interna de exploración de forma proactiva las amenazas distribuidas salvajemente,recolectar datos procesables y analizar los dirigidos activamente su infraestructura o productos.
¿Qué se produce?
Cuckoo genera un puñado de diferentes datos en bruto, que incluyen:
Funciones nativas y API de Windows llamadas huellas
Las copias de los archivos creados y eliminados del sistema de ficheros
Volcado de la memoria del proceso seleccionado
Volcado de memoria completa de lamáquina de análisis
Imágenes del escritorio durante la ejecución del análisis de malware
Volcado de red generado por la máquina que se utiliza para el análisis
Con el fin de hacer que tales resultados más consumible para los usuarios finales, Cuco es capaz de procesarlos y generar diferentes tipos de informes, que podrían incluir:
Informe JSON
Informe HTML
Informe MAEC
Interfaz MongoDBInterfaz HPFeeds
Aún más interesante, gracias a la extensa diseño modular del cuco, que son capaces de personalizar tanto el procesamiento y las etapas de presentación de informes. Cuco le proporciona todos los requisitos para integrar fácilmente la caja de arena en sus marcos y los almacenamientos existentes con los datos que desee, en la forma que desee, con el formato que desee.
¿Como funcionaCuckoo?
El sandbox se apoya en el sistema de virtualbox o vmware con un sistema windows instalado como cliente para poder realizar los análisis.
La estructura de Cuckoo es así:
Desde tu máquina enviarás tus muestras a los diferentes clientes que tengas configurados con Cuckoo para poder hacer los análisis pertinentes.
Requerimientos de Cuckoo en el HOST
La instalación mas sencillaes en Ubuntu, por lo tanto yo haré la instalación en este sistema.
Si miramos la documentación de Cuckoo, necesitaremos:
Python
Magic (Highly Recommended): for identifying files’ formats (otherwise use “file” command line utility)
Dpkt (Highly Recommended): for extracting relevant information from PCAP files.
Mako (Highly Recommended): for rendering the HTML reports and the web interface.Pydeep (Optional): for calculating ssdeep fuzzy hash of files.
Pymongo (Optional): for storing the results in a MongoDB database.
Yara and Yara Python (Optional): for matching Yara signatures.
Libvirt (Optional): for using the KVM module.
Algunos de los módulos se pueden instalar mediante:
sudo apt-get install python-magic python-dpkt python-mako python-pymongo
Máquina virtualpara las pruebas
Pondremos en OFF, el cortafuegos de windows y también las actualizaciones. Esto nos evitará en el caso del análisis de las trazas de red que no nos molesten las actualizaciones de red. Y el firewall lo desactivamos para que el malware se pueda conectar libremente a donde quiera.
Requerimientos de Cuckoo en la máquina virtual
Python, para poder ejecutar el agente en...
En tres palabras, Cuckooo Sandbox es un sistema de análisis de malware.
Qué significa eso? Simplemente significa que usted puede lanzar cualquier archivo sospechoso en él y en cuestión de segundos cuco va a proporcionar una copia de algunos resultados detallados que describen lo que existe el fichero hizo cuando se ejecuta dentro de un entorno aislado.
¿Porqué debería usarlo?
Malware es el cuchillo suizo del ejército de los criminales cibernéticos y cualquier otro adversario para su empresa u organización.
En estos tiempos cambiantes, la detección y eliminación de malware artefactos no es suficiente: es de vital importancia para entender cómo funcionan y lo que iban a hacer / lo hizo en sus sistemas cuando se despliega y entender el contexto, lasmotivaciones y los objetivos de una violación.
De esta manera, usted es capaz de entender de manera más eficaz el incidente, responder a él y protegerse a sí mismo para el futuro.
Hay infinitos otros contextos en los que puede que tenga que desplegar una caja de arena internamente, desde el análisis de una violación interna de exploración de forma proactiva las amenazas distribuidas salvajemente,recolectar datos procesables y analizar los dirigidos activamente su infraestructura o productos.
¿Qué se produce?
Cuckoo genera un puñado de diferentes datos en bruto, que incluyen:
Funciones nativas y API de Windows llamadas huellas
Las copias de los archivos creados y eliminados del sistema de ficheros
Volcado de la memoria del proceso seleccionado
Volcado de memoria completa de lamáquina de análisis
Imágenes del escritorio durante la ejecución del análisis de malware
Volcado de red generado por la máquina que se utiliza para el análisis
Con el fin de hacer que tales resultados más consumible para los usuarios finales, Cuco es capaz de procesarlos y generar diferentes tipos de informes, que podrían incluir:
Informe JSON
Informe HTML
Informe MAEC
Interfaz MongoDBInterfaz HPFeeds
Aún más interesante, gracias a la extensa diseño modular del cuco, que son capaces de personalizar tanto el procesamiento y las etapas de presentación de informes. Cuco le proporciona todos los requisitos para integrar fácilmente la caja de arena en sus marcos y los almacenamientos existentes con los datos que desee, en la forma que desee, con el formato que desee.
¿Como funcionaCuckoo?
El sandbox se apoya en el sistema de virtualbox o vmware con un sistema windows instalado como cliente para poder realizar los análisis.
La estructura de Cuckoo es así:
Desde tu máquina enviarás tus muestras a los diferentes clientes que tengas configurados con Cuckoo para poder hacer los análisis pertinentes.
Requerimientos de Cuckoo en el HOST
La instalación mas sencillaes en Ubuntu, por lo tanto yo haré la instalación en este sistema.
Si miramos la documentación de Cuckoo, necesitaremos:
Python
Magic (Highly Recommended): for identifying files’ formats (otherwise use “file” command line utility)
Dpkt (Highly Recommended): for extracting relevant information from PCAP files.
Mako (Highly Recommended): for rendering the HTML reports and the web interface.Pydeep (Optional): for calculating ssdeep fuzzy hash of files.
Pymongo (Optional): for storing the results in a MongoDB database.
Yara and Yara Python (Optional): for matching Yara signatures.
Libvirt (Optional): for using the KVM module.
Algunos de los módulos se pueden instalar mediante:
sudo apt-get install python-magic python-dpkt python-mako python-pymongo
Máquina virtualpara las pruebas
Pondremos en OFF, el cortafuegos de windows y también las actualizaciones. Esto nos evitará en el caso del análisis de las trazas de red que no nos molesten las actualizaciones de red. Y el firewall lo desactivamos para que el malware se pueda conectar libremente a donde quiera.
Requerimientos de Cuckoo en la máquina virtual
Python, para poder ejecutar el agente en...
Leer documento completo
Regístrate para leer el documento completo.