Cuckoo Sandbox, REMnux und Co.

Malware-Analyse mit Cuckoo Sandbox

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Die Cuckoo Sandbox kann alle Aktionen protokollieren, die eine verdächtige Datei ausführt. So lässt sich schnell erkennen, ob es sich um Schadsoftware handelt oder nicht.
Die Cuckoo Sandbox kann alle Aktionen protokollieren, die eine verdächtige Datei ausführt. So lässt sich schnell erkennen, ob es sich um Schadsoftware handelt oder nicht. (© profit_image - stock.adobe.com)

Malware wird immer intelligenter und richtet immensen Schaden an. Das wird am Beispiel von Ransomware besonders deutlich. Um auch neue Angreifer zu erkennen und bekämpfen zu können sind Tools notwendig, die genau analysieren wie die Malware vorgeht. Sandboxes in virtuellen Maschinen und Containern sind hier das Mittel der Wahl. Ein besonders praktisches und kostenloses Open-Source-Tool ist die Cuckoo Sandbox.

Die Cuckoo Sandbox bietet die Möglichkeit Malware in professionellen Sandboxes zu analysieren und dadurch leichter bekämpfen zu können. Grundsätzlich steht die Software als Open Source kostenlos zur Verfügung. Die Entwickler bieten aber Enterprise-Services an, mit denen der Betrieb vereinfacht wird und professioneller gestaltet werden kann.

So funktioniert die Cuckoo Sandbox

Cuckoo Sandbox baut auf einem Cuckoo-Host auf. Der Host stellt die Zentrale der Analysesoftware dar. Installiert werden muss die Software auf einem Linux-System. Daher sollte etwas Linux-Wissen vorhanden sein, wenn Unternehmen auf Cuckoo setzen.

Die Installation und der generelle Betrieb sind nicht ganz einfach. Daher sollte mit etwas Einarbeitung gerechnet werden, wenn Administratoren planen Malware genauer unter die Lupe zu nehmen. Die Konfiguration findet über zahlreiche CONF-Dateien statt, die sich im Installationsverzeichnis von Cuckoo befinden. Die wichtigste Konfigurationsdatei stellt dabei die Datei „cuckoo.conf“ dar. Hier wird zum Beispiel festgelegt auf welche Virtualisierungslösung gesetzt wird und wie mit den erstellten Logdateien verfahren werden soll. Aber auch die anderen Konfigurationsdateien spielen eine wichtige Rolle und sollten genau an die eigenen Anforderungen angepasst werden. Die Dokumentation hilft dazu.

Die Malware, die der Host testen soll, wird auf den Clients installiert. Diese baut Cuckoo als VM auf. Bei der Analyse überprüft Cuckoo die verschiedenen Dateitypen und führt die zu analysierende Schadsoftware in jeweils einer getrennten VM aus. Dazu ist Python ab Version 2.7 in der VM notwendig. Die VMs erstellt Cuckoo selbst und automatisch. Daher muss die Virtualisierungslösung auch entsprechend mit Cuckoo kommunizieren können.

Geniale Toolbox für Virenjäger

Kurz vorgestellt: VirusTotal

Geniale Toolbox für Virenjäger

05.09.17 - Schadsoftware wie Viren, Würmer, Keylogger und Ransomware, sind aus Firmennetzwerken kaum mehr fern zu halten. Will man AV-Tools nicht blind vertrauen, sondern Malware selbst enttarnen, braucht man das richtige Werkzeug. VirusTotal ist als Tool seit Jahren aus dem Arsenal der Virenjäger nicht mehr wegzudenken. Den meisten IT-Experten ist es nur als Multi-Antivirus-Maschine ein Begriff, aber der Service bietet so viel mehr! lesen

Als Virtualisierungslösung unterstützt Cuckoo den Betrieb, aber auch auf VMware-Produkten und VirtualBox. Als Betriebssystem lassen sich in den VMs, die Cuckoo nutzen kann verschiedene Windows-Versionen betreiben, aber auch Linux und macOS X. Auch Smartphone-Systeme lassen sich testen. Dazu kann in den VMs zum Beispiel auch Android installiert werden.

Anschließend protokolliert Cuckoo alle Aktionen, welche durch die Schadsoftware ausgeführt werden. Dazu gehören die erstellten und manipulierten Dateien, aber auch die gestarteten Prozesse und Aktionen im Netzwerk. Dazu erstellt Cuckoo auch einen PCAP-Trace. Selbst den Inhalt des Arbeitsspeichers des verseuchten Rechners analysiert Cuckoo und speichert den Inhalt in einer Dump-Datei.

Virtuelle Maschinen sind die Grundlage für die Analyse von Malware

Um Malware zu analysieren setzt Cuckoo auf VMs. Diese werden auf Basis von Vorlagen erzeugt, die aber in der Virtualisierungslösung vorhanden sein müssen. Außerdem muss Cuckoo in der Lage sein Snapshots zu erstellen. In der VM muss Python vorhanden sein sowie der Cuckoo-Agent, der die VM mit dem Host-System verbindet, um die Analyse durchzuführen.

Sobald das System miteinander kommunizieren kann, erhält die VM durch den Host die Malware, und die Analyse beginnt. Liegen im Netzwerk bereits VMs vor, mit denen eine Analyse von Malware durchgeführt werden soll, können diese an Cuckoo angebunden werden.

Malware-Diagnostik mit PEStudio

Kurz vorgestellt: PEStudio

Malware-Diagnostik mit PEStudio

20.10.17 - Seit vielen Jahren gehört Malware zu den Top-Bedrohungen der IT. Die Schadenspalette reicht dabei von der missbräuchlichen Ressourcennutzung über Datenspionage bis hin zur zerstörerischen Dateiaktivitäten. Für Sicherheitsexperten, die sich mit der Analyse potenziell schädlicher Dateien beschäftigen, gehört das Security-Tool PEStudio unbedingt in die Werkzeugkiste, denn der Funktionsumfang dieses tollen Werkzeugs orientiert sich klar am tatsächlichen Bedarf. lesen

Virensuche mit REMnux

Mit der Linux-Distribution REMnux können ebenfalls Analysen durchgeführt werden. Die Entwickler stellen dazu nicht nur eine virtuelle Appliance zur Verfügung, sondern bieten auch Container-Images für die Analyse von Malware. Die Images werden in Docker eingebunden. Die Distribution bietet als Appliance zahlreiche Tools für die Analyse von Malware an. Die verschiedenen Container-Images lassen auf der Seite der Entwickler herunterladen.

Malware-Analyse in der Cloud

Ravello Systems, die Entwickler von REMnux, bieten auch Vorlagen an, um die Appliance in AWS und Google Cloud Infrastructuren einzubinden. Dazu erhalten Unternehmen die Möglichkeit Malware-Analyse auch in der Cloud durchzuführen. Die Vorgehensweise dazu zeigen die Entwickler in der Dokumentation von REMnux.

Online-Alternativen zu Cuckoo Sandbox

Administratoren, die nicht ständig Malware untersuchen müssen, sondern nur ab und zu Viren und verseuchte Dateien unter die Lupe nehmen wollen, können auch auf Alternativen setzen. Mit ThreatTrack lassen sich Viren ebenfalls analysieren. Auch diese Software arbeitet mit Sandboxes.

Neben Software, die im Netzwerk installiert werden muss, sind im Internet auch Online-Dienste zu finden, mit denen einzelne Dateien ebenfalls analysiert werden können. Ein Beispiel für eine Online-Alternative stellt ViCheck dar. Die Datei wird auf die Webseite geladen und anschließend online analysiert. Das Ergebnis kann ViCheck per E-Mail zustellen.

Online-Virenscanner und Malware-Analyzer im Unternehmenseinsatz

Malware-Analyse

Online-Virenscanner und Malware-Analyzer im Unternehmenseinsatz

06.06.17 - Ein Virenscanner ist fester Bestandteil einer jeden Sicherheitsarchitektur. Auf Endpoint-Systemen, in der Cloud und auch auf Gateway-Systemen für Web- und E-Mail-Traffic. Eigentlich sollte das genügen, doch was tun, wenn man sich nicht ganz sicher ist? Online-Virenscanner sind hier ein probates Hilfsmittel für mehr Sicherheit. lesen

Auch auf der Seite Hybrid-Analysis.com können verdächtige Dateien mit Sandboxes nach Malware durchsucht werden. Für die Analyse muss die entsprechende Datei einfach hochgeladen werden. Anschließend kann noch ausgewählt werden auf welchem Betriebssystem die Analyse durchgeführt werden soll. Weitere Multi-Antivirus-Maschinen haben wir in einem eigenen Beitrag bereits näher vorgestellt. Der Betrieb und die Tests von Cuckoo lassen sich auch online testen. Dazu steht auf der Seite sandbox.pikker.ee ein Dashboard auf Basis von Cuckoo zur Verfügung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45200675 / Endpoint)