Cuckoo沙盘试用报告

B100D1E55

早年SBIE的第三方插件SBA可以监控沙盘内程序的行为，因此我有时会用SBIE来排除一些可疑文件。遗憾的是SBIE的第三方插件支持到今日已经寥寥无几，SBA更是多年未更行，因此不得不找一个虚拟机外的替代品来进行病毒分析。
在线沙盘分析的排队还是相当烦人，这也是我试用布谷鸟沙盘（Cuckoo Sandbox，后文简称CS）的原因之一。CS开发已经有些年头了，早期安装起来比较麻烦，所幸的是经过长期版本迭代后无论是文档还是程序本身的易用性都已经相当完善（和某些夭寿的开源项目比起来更是如此），最近的版本甚至自带网页服务器、还优化了Virustotal、Snort等集成（和Payload Security那个hybrid-analysis沙盘一样包含了动、静态分析，以及多杀软扫描）


CS主程序运行在Debian或者MacOS上，使用Virtualbox或其他虚拟机软件作为虚拟容器进行恶意行为的监控。我拿自己一台空闲的笔记本装了ubuntu并配置了一下CS。CS的安装并不麻烦，除了过程中我把yara配置错导致运行时崩溃浪费了不少时间捉虫外，剩下的时间其实都浪费在Django服务器的配置上……虚拟容器使用的是Virtualbox，系统是win7 64，禁用自动更新、防火墙和UAC（CS如是要求），并安装了常用软件模拟正常电脑环境，网页服务器运行起来后界面如下：


CS支持多个虚拟机（如果你电脑够强大的话一次性分析多个文件应该问题不大），每个程序大致需要分析2分钟的时间，当然这个时长可以自定义。最后会生成一个HTML报告。新版甚至在报告中提供了危险评估的打分，很好很强大。

试了毒区几个恶意程序，其中ransomware行为特别多，我扔了一个cerber进去出来的恶意分是10.6/10 (还溢出了……)。毕竟这个cerber还带有反虚拟机侦测的行为（例如寻找virtualbox的独有设备）



CS对大部分恶意程序评估还是很给力的，我随后试着扔了一个putty进去，评分是1.8/10，说明分数还算有点参考价值（虽然现在仍处在alpha阶段）


CS也有一个公共服务页面，叫Malwr，看了一下功能和开源发行版几乎是一样的，但是Malwr服务器实在太慢了……本地电脑搭建CS后直接通过端口映射和ddns就搭成自己独有的沙盘分析服务啦，无需排队分析享受VIP待遇。

当然，CS也有自己的局限性，它本身用的一些注入手段有可能被恶意程序反过来迷惑。除了检测CS一些钩子之外，CS独有的一些文件命名、服务之类的也可能成为反分析的区分标识（其中有一些反Cuckoo手段已经能被Cuckoo侦测出来了，例如Cerber样本中就附带检测机器是否有Cuckoo的agent在运行，这个行为反过来被Cuckoo侦测到），再者还有检测virtualbox独有的软硬件（比如guest add-on）来反虚拟机。不过面对日常应用来说CS应该算绰绰有余。

诸葛亮

感谢楼主的试用报告!
好像红伞的APC也使用了这个沙盘。

B100D1E55

诸葛亮 发表于 2017-1-5 09:45
感谢楼主的试用报告!
好像红&# ...

我记得红伞官博的确是有提到过这个沙盘。不管怎么说Cuckoo还是挺惊艳的，早年就在想会不会有这样一个可以自己搭建的分析系统开源，最近搜一下还真有

houtiancheng

WoW这个要赞一个~
我刚好也在想有没有这样的东西来着~

神龟Turmi

谢谢评测，不过楼主有没有注意这个沙盘能不能下载样本呢？
如果能 又是个找毒的好地方

好吧，这个是本地的沙盘。。。我还以为和payload的那个一样。。。

猪头无双

诸葛亮 发表于 2017-1-5 09:45
感谢楼主的试用报告!
好像红&# ...

http://bbs.kafan.cn/thread-1786958-1-1.html

这不是你自己发的帖子吗··· ···

85683213

不错！
我前年也有动过这个念头，不过放弃了，时间不够

诸葛亮

神龟Turmi 发表于 2017-1-5 14:35
谢谢评测，不过楼主有没有注意这个沙盘能不能下载样本呢？
如果能 又是个找毒的好地方

https://malwr.com/
这个网站，注册了之后是可以获取样本的

houtiancheng

诸葛亮 发表于 2017-1-5 18:03
https://malwr.com/
这个网站，注册了之后是可以获取样本的

赞
VT就差个样本下载~

神龟Turmi

诸葛亮 发表于 2017-1-5 18:03
https://malwr.com/
这个网站，注册了之后是可以获取样本的

是的这个我知道。。。我还以为是出了新的在线分析。。。
然后仔细一看Malwr用的就是Cuckoo。。。