יניב אור- יניב אור
Cuckoo Sandbox
עודכן: 20 במאי 2020
המערכת open-source המובילה לניתוח נוזקות (תוכנות זדוניות - malwares). מאפשרת ביצוע ניתוח בצורה דינאמית - ב-sandbox - ע"י הרצת ה-malware על מכונה וירטואלית.
המערכת עושה שימוש בכמה תוכנות ידועות חזקות כגון:
יארה - כלי לניתוח נוזקות על-פי תבניות וחוקים - yara
הפריימוורק Volatility - שמיועד לניתוח פורנזי של הזיכרון.
ה-disassembler שנקרא distorm.
תוכנת fuzzy hashing שנקראת ssdeep.
ועוד מטעמים.
להתקנת המערכת נעזרתי במדריך הבא:
https://utopianknight.com/malware/cuckoo-installation-on-ubuntu-20/
במקום Windows 7 התקנתי Windows XP. ההתקנה היתה מעייפת. הרבה מאוד התקנות כולל מכונה וירטואלית בתוך מכונה וירטואלית, קינפוגים וכו'.
המחשב שלי הוא לפטופ Asus ROG Strix GL503G - זיכרון של 32 ג'יגה - עליו רצה מערכת הפעלה אובונטו 20 (Focal Fossa). את ה-cuckoo אני מריץ במכונה וירטואלית (VirtualBox) - גם היא אובונטו 20 כשהיא מריצה כ-agent, במכונה וירטואלית (VirtualBox), מערכת הפעלה Windows XP SP3 - נטולת עדכונים, אנטי-וירוס ו-firewall.
דוגמאות לשימוש במעבדת cuckoo: