SlideShare a Scribd company logo

Cuckoo Sandbox: Automated malware analysis

J
jekil

Il documento descrive Cuckoo Sandbox, uno strumento open source per l'analisi automatizzata dei malware, progettato per essere elegante e personalizzabile. Permette l'esecuzione di software non fidato in un ambiente isolato e offre molteplici funzionalità, tra cui monitoraggio delle interazioni e generazione di rapporti. Cuckoo è supportato da una community attiva e mira a migliorare continuamente le sue capacità di analisi.

Education
1 of 55
Downloaded 59 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
Alessandro @jekil Tanasi automated malware analysis
CONTENUTI • Automated malware analysis • Il progetto Cuckoo Sandbox • Architettura • Moduli • Installazione • Utilizzo • Community
AUTOMATED MALWARE ANALYSIS
IDEA Magic Box
SANDBOX • Meccanismo per isolare l'esecuzione del software • Mette a disposizione un set limitato e controllato di risorse hardware e software • Usato per eseguire software non fidato • Paradigma utilizzato in security e malware analysis
SANDBOX & MALWARE • Esecuzione del malware in ambiente isolato • Monitoraggio del suo funzionamento • Monitoraggio delle intreazioni con le risorse • Software o hardware
SANDBOXVS MALWARE • Grandi quantità di malware • Automazione totale e flessibilità • Integrazione con altri strumenti di sicurezza • Analisi con risultati comparabili con quella manuale
SCOPI • Analisi Malware • Ricerca di minacce • Forensics e incident response • Sistemi integrati per la sicurezza WANTED!
MA.. • Prodotti commerciali costosi e closed source • Setup complessi • Nessuna o poco flessibilità • Svantaggiosi per studenti, ricercatori, ecc.
Cuckoo Sandbox: Automated malware analysis
CUCKOO SANDBOX • Sandbox per analisi automatizzata di malware • Progettata per essere facile da usare • Progettata per essere totalmente personalizzabile
FUNZIONALITÀ • Completamente automatizzata • Personalizzabile in ogni sua parte: tutto e` modulare • Analisi parallela • Tracciamento API calls • Memory dump • Analisi traffico di rete • Dump file • Screenshots • Signature
TEAM Claudio nex Guarnieri Alessandro jekil Tanasi Mark rep Schloesser Jurriaan skier Bremer @botherder Lead developer Core developer Core developer Core developer @jekil @repmovsb @skier_t
6 MESI: 15000 DOWNLOADS
> 25 COLLABORATORI
MAJOR RELEASES 2010 2011 2012 2013 Ago 2010 0.1a Gen 2011 0.1 Nov 2011 0.2 Dic 2011 0.3 Giu 2012 0.4 Dic 2012 0.5 Apr 2013 0.6 1.0
ARCHITETTURA
ARCHITETTURA • Host GNU/Linux • Software di virtualizzazione (VirtualBox, KVM/libvirt, Vmware) • Macchine virtuali (VM) in cui eseguire il malware VM VMCuckoo HOST FISICO
CICLO DI ANALISI Recupera task PreparaVM Upload analyzer Esecuzione malware Processing Reporting
COMPONENTI • Core deamon ‣ Gestisce il processo di analisi, i moduli e leVM. • Analyzer ‣ All’interno dellaVM esegue il sample e comunica al core le sue azione. ‣ Modulare: per ogni sistema operativo.
CICLO DI ANALISI CoreInvio Agent Analyzer Upload Logging & controllo RPC DB
CUCKOOMON • Instrumentation via DLL injection • Hooking delle principali funzioni (circa 170 APIs) • Logging in real time via network • Traccia i processi child o injected • Codice in C http://github.com/cuckoobox/cuckoomon
MODULI
MACHINERY • Interagiscono con il software di virtualizzazione • Codice Python in modules/machinery/ • Software supportati: ‣ VirtualBox ‣ VMWare Workstation ‣ QEMU/KVM ‣ Base class LibVirt
Cuckoo Sandbox: Automated malware analysis
AUXILIARY • Eseguiti in parallelo all'analisi • Codice Python in modules/auxiliary/ • Esempio: network sniffer
PROCESSING • Elaborano i dati grezzi di analisi • Codice Python in modules/ processing/ • Analysis Info • File Hashes • Yara Signatures • Behavior Analysis • Dropped Files • Analisi del memory dump con Volatility • Analisi traffico di rete • Analisi header PE32 • Strings • RicercaVirusTotal
Cuckoo Sandbox: Automated malware analysis
SIGNATURES • Scattano in corrispondenza di determinati eventi • Codice Python in modules/signatures/ • Esempi: ‣ Riconoscere famiglie ‣ Estrarre ulteriori dettagli (configurazioni) • Community repository https://github.com/cuckoobox/community
Cuckoo Sandbox: Automated malware analysis
REPORTS • Presentano le informazioni in vari formati • Codice Python in modules/reporting/ • Default reports: ‣ JSON ‣ HTML ‣ MAEC ‣ MongoDB
Cuckoo Sandbox: Automated malware analysis
ANALYSIS PACKAGES • Lanciano il sample in base al suo tipo (URL, Office, etc) • Codice Python in analyzer/windows/modules/ packages/ • Default packages: ‣ Java applet, DLL,Word, executable, HTML, URL (Internet Explorer), Java JAR,Adobe PDF,VBS, Excel, ZIP
Cuckoo Sandbox: Automated malware analysis
ANALYSIS AUXILIARY • Eseguiti parallelamente al sample • Codice Python in analyzer/windows/modules/ auxiliaries/ • Esempi: muovere il mouse, screenshots
Cuckoo Sandbox: Automated malware analysis
SETUP
DOWNLOAD • Dal sito ufficiale: http://www.cuckoosandbox.org • Da GitHub: http://github.com/cuckoobox/cuckoo
INSTALLAZIONE • Estrarre Cuckoo • Installare le dipendenze (da manuale) • Creare unaVM per l'analisi, eseguirci agent.py, e fare uno snapshot • Configurare il networking • Modificare a piacimento la configurazione in conf/
CREAZIONEVM • DiverseVM per requisiti ‣ Sistema operativo e livello di patching ‣ Architettura CPU ‣ Applicativi installati (exploitable) • AntiVM detection • Fake stuff: credenziali, ecc. • Eseguire agent.py • Fare snapshot
CONFIGURAZIONE • Configurazione generale • ConfigurazioneVM • Sniffer • Processing • Reports La configurazione deve essere calibrata sul risultato voluto
UTILIZZO
SAMPLE SUBMISSION • Via console: utils/submit.py • Via API: utils/api.py • Via interfaccia web • Via codice Python
Cuckoo Sandbox: Automated malware analysis
OPZIONI DI SUBMISSION • Package di analisi e opzioni • Timeout • Priorità dell’analisi • Virtual machine name • Virtual machine platform • Virtual machine tag • Memory dump (VM) • Memory dump (processo) • Clock
RISULTATI • Folder di analisi storage/ analysis/{id}/ • Il contenuto dipende dall’esito dell’analisi • Il contenuto dipende dai moduli abilitati . |-- analysis.conf |-- analysis.log |-- binary |-- dump.pcap |-- memory.dmp |-- files | |-- 1234567890 | `-- dropped.exe |-- logs | |-- 1232.raw | `-- 1118.raw |-- reports | |-- report.html | |-- report.json | |-- report.maec11.xml | `-- report.metadata.xml `-- shots |-- 0001.jpg `-- 0002.jpg
WEBAPP • Django web application in web/ • Submission con opzioni • Ricerca di analisi • Report interattivo
Cuckoo Sandbox: Automated malware analysis
MALWR.COM • Istanza pubblica • Sample condivisi • User accounts • Analisi private • Funzionalità social
COMMUNITY.CUCKOOSANDBOX.ORG • Portale domanda & risposta • Supporto utenti • Knowledge portal
GET INTOUCH • Mailing list https://public.honeynet.org/mailman/listinfo/cuckoo • Bug tracker http://dev.cuckoosandbox.org/ • IRC chat irc://irc.freenode.net/#cuckoosandbox
Cuckoo Sandbox: Automated malware analysis
CONCLUSIONI Open source Custom Community driven IntegrabileFacilità Continuo sviluppo
FUTURO • Più analyzer: Linux e MacOSX • Supporto per ESXi e macchine fisiche • Performances • Più signatures • Il futuro è guidato dalle esigenze di malware analysis e dalla communità
DOMANDE & COMMENTI

More Related Content

PDF
Le fasi di un Penetration testing
Alessandra Zullo
 
PDF
Infrastructure as Data
Francesco Collova'
 
PPT
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Claudio Criscione
 
PPTX
Costruisci il tuo device
DotNetCampus
 
PDF
Tanti "piccoli rilasci" con Symfony2
Fabio Mora
 
PDF
Agrillo Fedora 11 release party 18 giugno 2009
Giuseppe Agrillo
 
PDF
Traffic Shaping Su Linux
Majong DevJfu
 
PDF
festival ICT 2013: Gestire criticità in maniera efficiente per liberare slot ...
festival ICT 2016
 
Le fasi di un Penetration testing
Alessandra Zullo
 
Infrastructure as Data
Francesco Collova'
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Claudio Criscione
 
Costruisci il tuo device
DotNetCampus
 
Tanti "piccoli rilasci" con Symfony2
Fabio Mora
 
Agrillo Fedora 11 release party 18 giugno 2009
Giuseppe Agrillo
 
Traffic Shaping Su Linux
Majong DevJfu
 
festival ICT 2013: Gestire criticità in maniera efficiente per liberare slot ...
festival ICT 2016
 

Viewers also liked (10)

PDF
Introduction to malware analysis with Cuckoo Sandbox
sysinsider
 
PDF
Fiche formation cissp
zsekoia
 
PDF
Sec day cuckoo_workshop
Thomas Roccia
 
PDF
Reversing & malware analysis training part 9 advanced malware analysis
Abdulrahman Bassam
 
PDF
Reversing & malware analysis training part 12 rootkit analysis
Abdulrahman Bassam
 
PPTX
Advanced Malware Analysis Training Session 5 - Reversing Automation
securityxploded
 
PPTX
Reversing & Malware Analysis Training Part 13 - Future Roadmap
securityxploded
 
PPTX
Reversing & Malware Analysis Training Part 11 - Exploit Development [Advanced]
securityxploded
 
PPTX
Advanced Malware Analysis Training Session 3 - Botnet Analysis Part 2
securityxploded
 
PDF
Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15
Shellmates
 
Introduction to malware analysis with Cuckoo Sandbox
sysinsider
 
Fiche formation cissp
zsekoia
 
Sec day cuckoo_workshop
Thomas Roccia
 
Reversing & malware analysis training part 9 advanced malware analysis
Abdulrahman Bassam
 
Reversing & malware analysis training part 12 rootkit analysis
Abdulrahman Bassam
 
Advanced Malware Analysis Training Session 5 - Reversing Automation
securityxploded
 
Reversing & Malware Analysis Training Part 13 - Future Roadmap
securityxploded
 
Reversing & Malware Analysis Training Part 11 - Exploit Development [Advanced]
securityxploded
 
Advanced Malware Analysis Training Session 3 - Botnet Analysis Part 2
securityxploded
 
Malware Analysis par Mohamed Ali FATHI - BSides Algiers 2k15
Shellmates
 
Ad

Similar to Cuckoo Sandbox: Automated malware analysis (20)

PPTX
Esplorando il Cloud con Azure - Un viaggio tra IaaS, PaaS e SaaS e un compila...
Giuseppe Cramarossa
 
PPTX
Azure dayroma java, il lato oscuro del cloud
Riccardo Zamana
 
PPTX
Dal requisito all'implementazione @ CD2010
Mauro Servienti
 
PPTX
Kubernetes e bello, sicuro è meglio!
Giuliano Latini
 
PPTX
OpenDevSecOps 2019 - Open devsecops un caso di studio
Emerasoft, solutions to collaborate
 
PPTX
ASP.NET Core Services e Linux per il Mobile - Pietro Libro - Codemotion Rome...
Codemotion
 
PPTX
.NET Core, ASP.NET Core e Linux per il Mobile
Pietro Libro
 
PDF
Agileday2013 pratiche agili applicate all'infrastruttura
XPeppers
 
PDF
Progetto e implementazione di una pipeline di sviluppo software con tecnologi...
Mattia Milleri
 
PPTX
Single Page Applications
Roberto Messora
 
PPTX
70-485: ADVANCED OF DEVELOPING WINDOWS STORE APPS USING C#
DotNetCampus
 
PDF
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
Morlini Gabriele
 
PDF
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
Imola Informatica
 
PPTX
High specialized vm on open stack cloud
Gabriele Baldoni
 
PDF
Custom vision on edge device
Alessio Biasiutti
 
PDF
IoT Saturday 2019 - Custom Vision on Edge device
Alessio Biasiutti
 
PDF
La sicurezza applicativa ai tempi dell’ASAP
festival ICT 2016
 
PDF
BackBox Linux: Simulazione di un Penetration Test e CTF
Andrea Draghetti
 
PPT
CruiseControl.net in un progetto reale
DotNetMarche
 
PDF
Software Engineering Introduction in Italian
PierpaoloCaricato
 
Esplorando il Cloud con Azure - Un viaggio tra IaaS, PaaS e SaaS e un compila...
Giuseppe Cramarossa
 
Azure dayroma java, il lato oscuro del cloud
Riccardo Zamana
 
Dal requisito all'implementazione @ CD2010
Mauro Servienti
 
Kubernetes e bello, sicuro è meglio!
Giuliano Latini
 
OpenDevSecOps 2019 - Open devsecops un caso di studio
Emerasoft, solutions to collaborate
 
ASP.NET Core Services e Linux per il Mobile - Pietro Libro - Codemotion Rome...
Codemotion
 
.NET Core, ASP.NET Core e Linux per il Mobile
Pietro Libro
 
Agileday2013 pratiche agili applicate all'infrastruttura
XPeppers
 
Progetto e implementazione di una pipeline di sviluppo software con tecnologi...
Mattia Milleri
 
Single Page Applications
Roberto Messora
 
70-485: ADVANCED OF DEVELOPING WINDOWS STORE APPS USING C#
DotNetCampus
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
Morlini Gabriele
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
Imola Informatica
 
High specialized vm on open stack cloud
Gabriele Baldoni
 
Custom vision on edge device
Alessio Biasiutti
 
IoT Saturday 2019 - Custom Vision on Edge device
Alessio Biasiutti
 
La sicurezza applicativa ai tempi dell’ASAP
festival ICT 2016
 
BackBox Linux: Simulazione di un Penetration Test e CTF
Andrea Draghetti
 
CruiseControl.net in un progetto reale
DotNetMarche
 
Software Engineering Introduction in Italian
PierpaoloCaricato
 
Ad

More from jekil (18)

PDF
Names and virtual host discovery
jekil
 
ODP
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
jekil
 
PDF
Client Side Security Settordici Lugts
jekil
 
PDF
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
jekil
 
PDF
Security by example
jekil
 
PDF
Sviluppo web con Ruby on Rails
jekil
 
PDF
XPath Injection
jekil
 
ODP
Web Application Insecurity Uncensored
jekil
 
ODP
Web Application Insecurity L D2007
jekil
 
PDF
Anonimato In Rete Summer Of Linux2007
jekil
 
PDF
Linux Nelle Aziende Summer Of Linux 2007
jekil
 
ODP
Linux Nelle Aziende Installfest2007
jekil
 
ODP
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
PDF
Introduzione all'analisi forense
jekil
 
PDF
MySQL
jekil
 
PDF
MySQL 5
jekil
 
ODP
Intrusion Detection Systems
jekil
 
ODP
La sicurezza informatica nello studio legale
jekil
 
Names and virtual host discovery
jekil
 
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
jekil
 
Client Side Security Settordici Lugts
jekil
 
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
jekil
 
Security by example
jekil
 
Sviluppo web con Ruby on Rails
jekil
 
XPath Injection
jekil
 
Web Application Insecurity Uncensored
jekil
 
Web Application Insecurity L D2007
jekil
 
Anonimato In Rete Summer Of Linux2007
jekil
 
Linux Nelle Aziende Summer Of Linux 2007
jekil
 
Linux Nelle Aziende Installfest2007
jekil
 
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
Introduzione all'analisi forense
jekil
 
MySQL
jekil
 
MySQL 5
jekil
 
Intrusion Detection Systems
jekil
 
La sicurezza informatica nello studio legale
jekil
 

Recently uploaded (11)

PDF
Techniques Technology and Civilization 1st Edition Marcel Mauss
beuvygsnb2172
 
PDF
Inequality In Public School Admission In Urban China 1st Ed Jing Liu
hoczmiby1785
 
PPTX
Modificare una Videoclip di Canva condivisa con un link
Marco Chizzali
 
PDF
Jonathan Edwardss Vision Of Reality John J Bombaro
wjajdjg4849
 
PDF
Nonlinear time series semiparametric and nonparametric methods 1st Edition Ji...
qvhcajae3274
 
PDF
Download full ebook of Eternity Row Viehl S L instant download pdf
nruebomj2316
 
PDF
Plant Breeding Reviews Volume 38 1st Edition Jules Janick (Editor)
ykyipya7146
 
PDF
Postgresql 155 Documentation 155 The Postgresql Global Development Group
wfilecmlq435
 
PDF
Cultural globalization and language education 1st Edition Kumaravadivelu
bpmcxwqd7276
 
PDF
Intelligenze Aumentate: co-progettare il futuro dell'educazione con l’AI
Flavia Giannoli
 
PDF
Olimpiadi filosofia presentazione triennio
mastedruction0o
 
Techniques Technology and Civilization 1st Edition Marcel Mauss
beuvygsnb2172
 
Inequality In Public School Admission In Urban China 1st Ed Jing Liu
hoczmiby1785
 
Modificare una Videoclip di Canva condivisa con un link
Marco Chizzali
 
Jonathan Edwardss Vision Of Reality John J Bombaro
wjajdjg4849
 
Nonlinear time series semiparametric and nonparametric methods 1st Edition Ji...
qvhcajae3274
 
Download full ebook of Eternity Row Viehl S L instant download pdf
nruebomj2316
 
Plant Breeding Reviews Volume 38 1st Edition Jules Janick (Editor)
ykyipya7146
 
Postgresql 155 Documentation 155 The Postgresql Global Development Group
wfilecmlq435
 
Cultural globalization and language education 1st Edition Kumaravadivelu
bpmcxwqd7276
 
Intelligenze Aumentate: co-progettare il futuro dell'educazione con l’AI
Flavia Giannoli
 
Olimpiadi filosofia presentazione triennio
mastedruction0o
 

Cuckoo Sandbox: Automated malware analysis

  • 2. CONTENUTI • Automated malware analysis • Il progetto Cuckoo Sandbox • Architettura • Moduli • Installazione • Utilizzo • Community
  • 5. SANDBOX • Meccanismo per isolare l'esecuzione del software • Mette a disposizione un set limitato e controllato di risorse hardware e software • Usato per eseguire software non fidato • Paradigma utilizzato in security e malware analysis
  • 6. SANDBOX & MALWARE • Esecuzione del malware in ambiente isolato • Monitoraggio del suo funzionamento • Monitoraggio delle intreazioni con le risorse • Software o hardware
  • 7. SANDBOXVS MALWARE • Grandi quantità di malware • Automazione totale e flessibilità • Integrazione con altri strumenti di sicurezza • Analisi con risultati comparabili con quella manuale
  • 8. SCOPI • Analisi Malware • Ricerca di minacce • Forensics e incident response • Sistemi integrati per la sicurezza WANTED!
  • 9. MA.. • Prodotti commerciali costosi e closed source • Setup complessi • Nessuna o poco flessibilità • Svantaggiosi per studenti, ricercatori, ecc.
  • 11. CUCKOO SANDBOX • Sandbox per analisi automatizzata di malware • Progettata per essere facile da usare • Progettata per essere totalmente personalizzabile
  • 12. FUNZIONALITÀ • Completamente automatizzata • Personalizzabile in ogni sua parte: tutto e` modulare • Analisi parallela • Tracciamento API calls • Memory dump • Analisi traffico di rete • Dump file • Screenshots • Signature
  • 13. TEAM Claudio nex Guarnieri Alessandro jekil Tanasi Mark rep Schloesser Jurriaan skier Bremer @botherder Lead developer Core developer Core developer Core developer @jekil @repmovsb @skier_t
  • 14. 6 MESI: 15000 DOWNLOADS
  • 16. MAJOR RELEASES 2010 2011 2012 2013 Ago 2010 0.1a Gen 2011 0.1 Nov 2011 0.2 Dic 2011 0.3 Giu 2012 0.4 Dic 2012 0.5 Apr 2013 0.6 1.0
  • 18. ARCHITETTURA • Host GNU/Linux • Software di virtualizzazione (VirtualBox, KVM/libvirt, Vmware) • Macchine virtuali (VM) in cui eseguire il malware VM VMCuckoo HOST FISICO
  • 20. COMPONENTI • Core deamon ‣ Gestisce il processo di analisi, i moduli e leVM. • Analyzer ‣ All’interno dellaVM esegue il sample e comunica al core le sue azione. ‣ Modulare: per ogni sistema operativo.
  • 22. CUCKOOMON • Instrumentation via DLL injection • Hooking delle principali funzioni (circa 170 APIs) • Logging in real time via network • Traccia i processi child o injected • Codice in C http://github.com/cuckoobox/cuckoomon
  • 24. MACHINERY • Interagiscono con il software di virtualizzazione • Codice Python in modules/machinery/ • Software supportati: ‣ VirtualBox ‣ VMWare Workstation ‣ QEMU/KVM ‣ Base class LibVirt
  • 26. AUXILIARY • Eseguiti in parallelo all'analisi • Codice Python in modules/auxiliary/ • Esempio: network sniffer
  • 27. PROCESSING • Elaborano i dati grezzi di analisi • Codice Python in modules/ processing/ • Analysis Info • File Hashes • Yara Signatures • Behavior Analysis • Dropped Files • Analisi del memory dump con Volatility • Analisi traffico di rete • Analisi header PE32 • Strings • RicercaVirusTotal
  • 29. SIGNATURES • Scattano in corrispondenza di determinati eventi • Codice Python in modules/signatures/ • Esempi: ‣ Riconoscere famiglie ‣ Estrarre ulteriori dettagli (configurazioni) • Community repository https://github.com/cuckoobox/community
  • 31. REPORTS • Presentano le informazioni in vari formati • Codice Python in modules/reporting/ • Default reports: ‣ JSON ‣ HTML ‣ MAEC ‣ MongoDB
  • 33. ANALYSIS PACKAGES • Lanciano il sample in base al suo tipo (URL, Office, etc) • Codice Python in analyzer/windows/modules/ packages/ • Default packages: ‣ Java applet, DLL,Word, executable, HTML, URL (Internet Explorer), Java JAR,Adobe PDF,VBS, Excel, ZIP
  • 35. ANALYSIS AUXILIARY • Eseguiti parallelamente al sample • Codice Python in analyzer/windows/modules/ auxiliaries/ • Esempi: muovere il mouse, screenshots
  • 37. SETUP
  • 38. DOWNLOAD • Dal sito ufficiale: http://www.cuckoosandbox.org • Da GitHub: http://github.com/cuckoobox/cuckoo
  • 39. INSTALLAZIONE • Estrarre Cuckoo • Installare le dipendenze (da manuale) • Creare unaVM per l'analisi, eseguirci agent.py, e fare uno snapshot • Configurare il networking • Modificare a piacimento la configurazione in conf/
  • 40. CREAZIONEVM • DiverseVM per requisiti ‣ Sistema operativo e livello di patching ‣ Architettura CPU ‣ Applicativi installati (exploitable) • AntiVM detection • Fake stuff: credenziali, ecc. • Eseguire agent.py • Fare snapshot
  • 41. CONFIGURAZIONE • Configurazione generale • ConfigurazioneVM • Sniffer • Processing • Reports La configurazione deve essere calibrata sul risultato voluto
  • 43. SAMPLE SUBMISSION • Via console: utils/submit.py • Via API: utils/api.py • Via interfaccia web • Via codice Python
  • 45. OPZIONI DI SUBMISSION • Package di analisi e opzioni • Timeout • Priorità dell’analisi • Virtual machine name • Virtual machine platform • Virtual machine tag • Memory dump (VM) • Memory dump (processo) • Clock
  • 46. RISULTATI • Folder di analisi storage/ analysis/{id}/ • Il contenuto dipende dall’esito dell’analisi • Il contenuto dipende dai moduli abilitati . |-- analysis.conf |-- analysis.log |-- binary |-- dump.pcap |-- memory.dmp |-- files | |-- 1234567890 | `-- dropped.exe |-- logs | |-- 1232.raw | `-- 1118.raw |-- reports | |-- report.html | |-- report.json | |-- report.maec11.xml | `-- report.metadata.xml `-- shots |-- 0001.jpg `-- 0002.jpg
  • 47. WEBAPP • Django web application in web/ • Submission con opzioni • Ricerca di analisi • Report interattivo
  • 49. MALWR.COM • Istanza pubblica • Sample condivisi • User accounts • Analisi private • Funzionalità social
  • 50. COMMUNITY.CUCKOOSANDBOX.ORG • Portale domanda & risposta • Supporto utenti • Knowledge portal
  • 51. GET INTOUCH • Mailing list https://public.honeynet.org/mailman/listinfo/cuckoo • Bug tracker http://dev.cuckoosandbox.org/ • IRC chat irc://irc.freenode.net/#cuckoosandbox
  • 54. FUTURO • Più analyzer: Linux e MacOSX • Supporto per ESXi e macchine fisiche • Performances • Più signatures • Il futuro è guidato dalle esigenze di malware analysis e dalla communità