cuckoo sandbox

最新推荐文章于 2025-04-12 09:24:10 发布
最新推荐文章于 2025-04-12 09:24:10 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 随手笔记 文章标签: cuckoo

Cuckoo Sandbox

作者:JochenZou
转载请注明出处:http://blog.youkuaiyun.com/youkawa/article/details/46563583

高级持续性威胁(APT)攻击检测和防御系统中,除了在各网络边界进行全流量捕获、异常流量检测等工作之外,还需要在终端对流量中提取和还原的负载进行动态分析。这里提到的动态分析主要是将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态行为来判断样本中是否包含恶意代码。沙箱技术是当前恶意代码检测最常用的程序动态分析技术,主要通过分析在网络流量中提取的文件来检测APT的攻击。

Cuckoo sandbox是一款著名的开源沙箱系统,已经被业界广泛采用,如VirusTotal(一个提供免费的可疑文件分析服务的网站,已被谷歌收购)、THREAT STREAM、In3Sec和ITES project等。Cuckoo sandbox基于虚拟化环境所建立的恶意程序分析系统能自动执行并且分析程序行为,完成对以下行为的记录:

  • 恶意程序内部函数与Windows API调用跟踪(API日志);
  • 恶意程序执行期间文件创建、删除与下载的操作;
  • 以PCAP的形式对恶意程序的网络行为进行跟踪(网络日志);
  • 样本的静态数据以及释放文件的行为;
  • 程序执行期间桌面操作截图;
  • 系统操作:文件/注册/互斥/服务;
  • 机器全内存空间dump。

能够实现对以下文件的分析:
exe文件、DLL、PDF 文件、Microsoft Office文件、URL和HTML文件、CPL文件、Visual Basic (VB) 脚本文件、ZIP压缩文件、Java JAR、Python文件等。

生成以下格式的分析报告:

  • JSON report
  • HTML report
  • MAEC report
  • MongoDB interface
  • HPFeeds interface

Cuckoo sandbox架构
Cuckoo sandbox主要由中央管理软件和各分析虚拟机组成。中央管理软件也称为Host machine,负责管理各样本的分析工作,如启动分析工作、行为dump以及生成报告等;分析虚拟机又称为Guest Machine,主要完成对恶意程序的分析以及向中央管理软件报告分析结果等工作。每个分析虚拟机都是一个相对独立干净的执行环境,能安全隔离各恶意程序的执行和分析工作。沙盒的系统架构图如下图所示:

这里写图片描述

Cuckoo sandbox能够在以下系统环境下运行:
host环境:GNU/Linux (Ubuntu)、Mac OS X
guest环境:Windows XP Service Pack 3、Windows Vista and Windows 7

参考资料:http://www.cuckoosandbox.org/about.html

Cuckoo Sandbox
JochenZou的专栏
06-19 2万+
Cuckoo Sandbox 作者:JochenZou 转载请注明出处: 高级持续性威胁(APT)攻击检测和防御系统中,除了在各网络边界进行全流量捕获、异常流量检测等工作之外。还需要在终端对流量中提取和还原的负载进行动态分析。这里提到的动态分析主要是将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态行为来判断样本中是否包含恶意代码。基于沙箱技术的程序动态分析是当前恶意代码
【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析 (1)
abao6690的博客
07-25 819
【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析 (1)
自动化恶意软件分析系统Cuckoo安装、配置详解
D_R_L_T的博客
01-28 6444
0×00 简述  沙盒(Sanbox) 是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。 Cuckoo 是一款用 Python 编写的开源的自动化恶意软件分析系统,它的主要功能有: 跟踪
Cuckoo Sandbox 安装与配置指南
gitblog_01071的博客
04-12 879
Cuckoo Sandbox 安装与配置指南 cuckoo Cuckoo Sandbox is an automated dynamic malware analysis system 项目地址: https://gitcode....
软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox
热门推荐
abcd1f2的专栏
01-15 1万+
1.Cockoo的功能 Cockoo Sandbox是开源安全沙箱,基于GPLv3。目的是恶意软件(malware analysis)分析。使用的时候将待分析文件丢到沙箱内,分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术,一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比,Cuckoo动态检测。扔到沙箱的可执行文件会被执行,文档会被打开,运行中检测。和不少开源
Cuckoo sandbox安装
myeeygo的博客
07-25 1367
综合版的Cuckoo Sandbox安装教程,涉及了一些安装时可能会遇到的问题
Ubuntu16.04安装Cuckoo SandBox
qq_35713842的博客
04-08 1816
建议先清空默认的iptables规则,如果没有/etc/iptables-rule文件,可以自己通过iptables-save > /etc/iptables-rules 写入规则。在virtualBox页面,点击工具,然后点击网络,即可进入当前的创建网络页面。打开虚拟机的网络设置,设置IP与网关,网关地址要和网卡上的一致,才可以链接外网。不出意外的话,就会出现以下的截图,然后你可以看到你运行时候的各种截图出来。点击创建,即可添加一个仅主机网络,我们使用默认的56.1网段即可。
Cuckoo Sandbox:Cuckoo Sandbox用于自动分析恶意软件-开源
05-13
**布谷鸟沙箱(Cuckoo Sandbox)详解** ...对于下载的cuckoosandbox-cuckoo-2094228这个压缩包,里面包含了Cuckoo Sandbox的源代码和相关文件,用户可以直接编译和部署,以开始自己的恶意软件分析之旅。
Cuckoo-AWS:扩展到Cuckoo Sandbox开源项目,增加了对AWS云功能的支持,并允许在自动扩展基础架构上运行仿真
05-08
AWS上的Cuckoo SandBox 作者:Oran Kabarity @ Check Point软件技术 概述 该项目是Cuckoo Sandbox开源项目的扩展; 它增加了对AWS云功能的支持,并允许在自动扩展基础架构上运行仿真。 这篇博客文章详细介绍了基于...
cuckoo-osx-analyzer:用于Cuckoo Sandbox项目的OS X分析器
05-12
布谷鸟分析仪 我的旨在为项目构建OS X分析器。 :warning: 在制品 :warning: 用法 另请参阅: 和 来宾机器设置 安装pt_deny_attach建议的pt_deny_attach内核扩展。 这是一个可选步骤,有关更多详细信息,请参见此。...
Ubuntu20.04系统Cuckoo sandbox所需环境搭建及安装(超详细图文)
ElsonHY的博客
05-24 1万+
请勿叫我大神,我只是互联网的搬运工~ 前言 本教程以Ubuntu20桌面版作为示范,服务器版同样适用,但可能稍微麻烦一点,服务器版本的话安装Xmanage套装使用可能会相对轻松一些,由于后面会使用到vbox的使用,对vbox命令行操作不熟悉的小伙伴用xmanage可能会相对轻松一点。 提示:以下是本篇文章正文内容,下面案例可供参考 安装ubuntu20桌面版 步骤1:转到https://ubuntu.com/download/desktop下载下载.iso。 步骤2:使用您选择的虚拟机监控程序(VMWa
Android-CuckooDroid-利用CuckooSandbox自动化分析Android恶意软件
08-12
CuckooDroid - 利用Cuckoo Sandbox自动化分析Android恶意软件
布谷鸟:布谷鸟沙盒是一个自动化的动态恶意软件分析系统
02-28
是领先的开源自动化恶意软件分析系统。 那是什么意思? 它只是意味着您可以向其扔任何可疑文件,而Cuckoo会在几秒钟内为您提供一些详细的结果,概述在隔离环境中执行该文件时的行为。 如果您想为开发做出贡献,报告错误,提出功能要求或提出问题,请首先查看我们的。 确保您检查了我们现有的Issues和Pull Requests,并加入了我们的。 有关设置说明,请参考。 这是开发版本,我们不建议在生产中使用它。 可以通过pip install -U cuckoo最新的稳定版本。 您可以在找到最新稳定版本的完整文档。
cuckoo sandbox安装
qq_44483628的博客
04-21 3377
文章目录前言一、虚拟机ubuntu安装步骤二、具体步骤三、遇到的问题总结 前言 搭建沙盒 在Windows系统上,用虚拟机ubuntu搭建Cuckoo沙箱 一、虚拟机ubuntu安装步骤 详见:https://blog.youkuaiyun.com/Thanlon/article/details/100072462 二、具体步骤 详见:https://bbs.pediy.com/thread-271392.htm 三、遇到的问题 E: 软件包 python-virtualenv 没有可安装候选 详见:https:
Cuckoo Sandbox 使用教程
gitblog_00046的博客
03-27 483
Cuckoo Sandbox 使用教程 cuckoo Cuckoo Sandbox is an automated dynamic malware analysis system 项目地址: https://gitcode.com...
Ubuntu22.04系统Cuckoo sandbox环境搭建及安装踩坑记录含虚拟机分享(最后罗列)
Cho_pin的博客
03-26 2119
此文章写于2023年3月26日,已安装到75步,算是把环境全部搭建完毕,win7沙箱也完成,搭建耗时接近一天,算是踩了好多坑,把踩坑经历发布出来避免重复踩坑本人Linux经验匮乏,因此踩了不少多余的坑,尽力保证写一篇保姆级的避坑指南吧另附一个完成至75步的虚拟机文件,不想安装的小伙伴可以自行下载。
【杜鹃沙盒】Cuckoo SandBox学习笔记
推理小孩的博客
03-05 1623
【杜鹃沙盒】Cuckoo SandBox学习笔记  这是个github上开源前十的项目之一,笔者只完成学习了部分功能,前来分享点经验   整个工程 连接地址 :https://github.com/cuckoosandbox/cuckoo 0x01调试运行 学习代码很关键的就是调试了 所以首先奉上点调试小技巧        一个编译器最基本的就是...
Cuckoo沙箱各Ubuntu版本安装及使用_cuckoo sandbox 安装
04-07 1480
启动webcuckoo web#通过http://localhost:8000#也可以通过ip访问 http://host ip:8080#如果需要设置后台可以使用nohup或者&#无法绑定结果服务器”错误意味着杜鹃无法 绑定用于获取分析日志的组件,发生这种情况是因为您的虚拟接口关闭或丢失。需要重新启动接口进行绑定#新建网卡。
Cuckoo SandBox V2.0.6恶意文件行为分析沙箱的安装
weixin_42651205的博客
11-19 4668
主机安装Ubuntu 16.04 LTS,手动分区,不然可能找不到2t的硬盘,如果还是提示找不到,先进入系统试用修复启动引导,再重装 客户机安装windows7 Professional,下载镜像在virtualbox里安装即可 一、安装主机ubuntu #安装完成后,安装其他所需软件 sudo apt-get install git mangodb libffi-dev build-essent...
cuckoo sandbox架构图
最新发布
04-29
<think>好的,我现在需要帮用户找到Cuckoo Sandbox的架构图,并解释其设计结构,特别是关于恶意代码分析的部分。首先,用户的问题提到了引用1到3,里面提到了Cuckoo Sandbox的架构组成、安装文档和网络配置。我需要整合这些信息,同时回顾之前的对话,确保符合用户的需求。 首先,引用1提到Cuckoo Sandbox由中央管理软件(Host machine)和分析虚拟机(Guest Machine)组成。Host负责管理样本分析,Guest是独立的执行环境。用户可能需要架构图来理解这两部分如何协作。此外,引用3提到Host需要监控Guest的网络流量,所以架构图可能包括网络配置部分,比如Host-Only模式。 接下来,用户在上一次的问题中讨论了恶意代码检测模型的评估,涉及准确率和误报率,以及ROC曲线。这可能意味着用户在进行恶意代码分析实验时,需要Cuckoo Sandbox的结构图来设计实验流程,或者理解沙箱如何收集行为数据供模型使用。 我需要确定如何获取架构图。根据引用2,官方文档和GitHub可能提供了架构图或相关说明。用户可能需要直接访问官方资源,比如官方手册的链接,或者GitHub仓库中的图片。另外,用户可能需要知道架构图中的关键组件,如Host、Guest、网络设置、行为监控模块等,以便理解数据流向和分析过程。 用户可能没有直接找到架构图,所以需要指导他们到正确的文档位置,或者描述架构的主要部分。例如,Host machine的任务是分配分析任务、收集报告,而Guest Machine执行样本并记录行为。网络方面,Host-Only模式确保所有流量经过Host,这对分析恶意软件的网络行为至关重要。 还需要考虑用户可能的深层需求,比如架构图是否有助于他们配置自己的沙箱环境,或者理解如何集成Cuckoo到现有的检测系统中。例如,用户提到的ROC曲线需要模型输出的概率值,这可能与Cuckoo收集的动态行为数据有关,因此架构图中的数据流部分对他们来说很重要。 最后,需要确保回答结构清晰,分点说明架构组成、数据流程、网络配置,并提供获取架构图的具体方法,如官方文档链接或GitHub仓库。同时,相关问题要围绕架构设计、网络配置、与其他工具集成等,帮助用户进一步探索。</think>#### 分步说明:Cuckoo Sandbox架构图与设计结构解析 --- ### 一、架构图获取方式 1. **官方文档直接获取** Cuckoo Sandbox的官方手册([http://docs.cuckoosandbox.org](http://docs.cuckoosandbox.org))中通常包含架构图,尤其在**安装配置**和**核心模块说明**部分。例如: - 在“Architecture Overview”章节中可找到完整的系统架构示意图[^2]。 - GitHub仓库的`docs`目录或Wiki页面可能提供更新的设计图(需检查最新提交记录)[^1]。 2. **技术论文与社区资源** 部分研究论文(如恶意代码分析相关文献)会引用Cuckoo的架构图,可通过Google Scholar搜索关键词`Cuckoo Sandbox architecture diagram`获取。 --- ### 二、核心架构组成(基于引用内容整合) #### 1. **中央管理软件(Host Machine)** - **功能**:任务调度、行为日志聚合、报告生成 - **关键模块**: - **任务队列管理器**:分配样本到不同Guest Machine - **行为分析引擎**:解析Guest上报的API调用、文件操作、注册表修改等数据 - **报告生成器**:输出JSON/HTML格式的行为分析报告[^1] #### 2. **分析虚拟机(Guest Machine)** - **设计特点**: - 独立隔离环境(如VMware/VirtualBox实例) - 预装代理程序(Cuckoo Agent),用于监控样本执行并上报行为数据[^3] - 支持多操作系统模板(Windows/Linux/Android) #### 3. **网络通信架构** - **Host-Only模式**: - Guest所有流量强制通过Host的虚拟网卡(如vboxnet0) - 支持流量镜像和协议级分析(如HTTP/DNS请求解析)[^3] - **流量捕获工具**: - 使用`tcpdump`或`mitmproxy`记录网络行为 - 结合Suricata进行威胁情报匹配(如C2服务器连接检测) --- ### 三、架构图关键组件示意图(文字描述) ``` +-------------------+ +---------------------+ | 中央管理软件 | | 分析虚拟机集群 | | (Host Machine) |<--->| (Guest Machines) | | - 任务调度 | | - 样本执行监控 | | - 行为日志存储 | | - 网络流量捕获 | | - 报告生成 | | - 系统调用追踪 | +-------------------+ +---------------------+ ↓ +-------------------+ | 网络分析模块 | | - Host-Only模式 | | - 流量镜像/解析 | +-------------------+ ``` --- ### 四、恶意代码分析实验中的应用 1. **动态行为捕获**: - Guest Machine内嵌钩子(Hooking)技术,监控样本的以下行为: - 文件系统操作(创建/删除/加密文件) - 进程注入(如`CreateRemoteThread` API调用) - 注册表篡改(如启动项修改) 2. **多维度数据关联**: - 将网络流量(如C2通信)与系统行为(如敏感文件访问)关联分析 - 示例:检测勒索软件同时触发文件加密和Tor网络连接的行为链 --- ### 五、扩展资源推荐 1. **GitHub仓库**: - [Cuckoo Sandbox官方GitHub](https://github.com/cuckoosandbox/cuckoo) 的`docs/images`目录可能包含架构图源文件(如`.svg`或`.png`)[^2] 2. **安装指南**: - 参考《Cuckoo沙箱各Ubuntu版本安装及使用》中的配置步骤,理解架构实现细节[^2] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值