Suchen

Cuckoo Sandbox, REMnux und Co. Malware-Analyse mit Cuckoo Sandbox

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Malware wird immer intelligenter und richtet immensen Schaden an. Das wird am Beispiel von Ransomware besonders deutlich. Um auch neue Angreifer zu erkennen und bekämpfen zu können sind Tools notwendig, die genau analysieren wie die Malware vorgeht. Sandboxes in virtuellen Maschinen und Containern sind hier das Mittel der Wahl. Ein besonders praktisches und kostenloses Open-Source-Tool ist die Cuckoo Sandbox.

Firmen zum Thema

Die Cuckoo Sandbox kann alle Aktionen protokollieren, die eine verdächtige Datei ausführt. So lässt sich schnell erkennen, ob es sich um Schadsoftware handelt oder nicht.
Die Cuckoo Sandbox kann alle Aktionen protokollieren, die eine verdächtige Datei ausführt. So lässt sich schnell erkennen, ob es sich um Schadsoftware handelt oder nicht.
(© profit_image - stock.adobe.com)

Die Cuckoo Sandbox bietet die Möglichkeit Malware in professionellen Sandboxes zu analysieren und dadurch leichter bekämpfen zu können. Grundsätzlich steht die Software als Open Source kostenlos zur Verfügung. Die Entwickler bieten aber Enterprise-Services an, mit denen der Betrieb vereinfacht wird und professioneller gestaltet werden kann.

Bildergalerie
Bildergalerie mit 7 Bildern

So funktioniert die Cuckoo Sandbox

Cuckoo Sandbox baut auf einem Cuckoo-Host auf. Der Host stellt die Zentrale der Analysesoftware dar. Installiert werden muss die Software auf einem Linux-System. Daher sollte etwas Linux-Wissen vorhanden sein, wenn Unternehmen auf Cuckoo setzen.

Die Installation und der generelle Betrieb sind nicht ganz einfach. Daher sollte mit etwas Einarbeitung gerechnet werden, wenn Administratoren planen Malware genauer unter die Lupe zu nehmen. Die Konfiguration findet über zahlreiche CONF-Dateien statt, die sich im Installationsverzeichnis von Cuckoo befinden. Die wichtigste Konfigurationsdatei stellt dabei die Datei „cuckoo.conf“ dar. Hier wird zum Beispiel festgelegt auf welche Virtualisierungslösung gesetzt wird und wie mit den erstellten Logdateien verfahren werden soll. Aber auch die anderen Konfigurationsdateien spielen eine wichtige Rolle und sollten genau an die eigenen Anforderungen angepasst werden. Die Dokumentation hilft dazu.

Die Malware, die der Host testen soll, wird auf den Clients installiert. Diese baut Cuckoo als VM auf. Bei der Analyse überprüft Cuckoo die verschiedenen Dateitypen und führt die zu analysierende Schadsoftware in jeweils einer getrennten VM aus. Dazu ist Python ab Version 2.7 in der VM notwendig. Die VMs erstellt Cuckoo selbst und automatisch. Daher muss die Virtualisierungslösung auch entsprechend mit Cuckoo kommunizieren können.

Als Virtualisierungslösung unterstützt Cuckoo den Betrieb, aber auch auf VMware-Produkten und VirtualBox. Als Betriebssystem lassen sich in den VMs, die Cuckoo nutzen kann verschiedene Windows-Versionen betreiben, aber auch Linux und macOS X. Auch Smartphone-Systeme lassen sich testen. Dazu kann in den VMs zum Beispiel auch Android installiert werden.

Anschließend protokolliert Cuckoo alle Aktionen, welche durch die Schadsoftware ausgeführt werden. Dazu gehören die erstellten und manipulierten Dateien, aber auch die gestarteten Prozesse und Aktionen im Netzwerk. Dazu erstellt Cuckoo auch einen PCAP-Trace. Selbst den Inhalt des Arbeitsspeichers des verseuchten Rechners analysiert Cuckoo und speichert den Inhalt in einer Dump-Datei.

Bildergalerie
Bildergalerie mit 7 Bildern

Virtuelle Maschinen sind die Grundlage für die Analyse von Malware

Um Malware zu analysieren setzt Cuckoo auf VMs. Diese werden auf Basis von Vorlagen erzeugt, die aber in der Virtualisierungslösung vorhanden sein müssen. Außerdem muss Cuckoo in der Lage sein Snapshots zu erstellen. In der VM muss Python vorhanden sein sowie der Cuckoo-Agent, der die VM mit dem Host-System verbindet, um die Analyse durchzuführen.

Sobald das System miteinander kommunizieren kann, erhält die VM durch den Host die Malware, und die Analyse beginnt. Liegen im Netzwerk bereits VMs vor, mit denen eine Analyse von Malware durchgeführt werden soll, können diese an Cuckoo angebunden werden.

Virensuche mit REMnux

Mit der Linux-Distribution REMnux können ebenfalls Analysen durchgeführt werden. Die Entwickler stellen dazu nicht nur eine virtuelle Appliance zur Verfügung, sondern bieten auch Container-Images für die Analyse von Malware. Die Images werden in Docker eingebunden. Die Distribution bietet als Appliance zahlreiche Tools für die Analyse von Malware an. Die verschiedenen Container-Images lassen auf der Seite der Entwickler herunterladen.

Malware-Analyse in der Cloud

Ravello Systems, die Entwickler von REMnux, bieten auch Vorlagen an, um die Appliance in AWS und Google Cloud Infrastructuren einzubinden. Dazu erhalten Unternehmen die Möglichkeit Malware-Analyse auch in der Cloud durchzuführen. Die Vorgehensweise dazu zeigen die Entwickler in der Dokumentation von REMnux.

Online-Alternativen zu Cuckoo Sandbox

Administratoren, die nicht ständig Malware untersuchen müssen, sondern nur ab und zu Viren und verseuchte Dateien unter die Lupe nehmen wollen, können auch auf Alternativen setzen. Mit ThreatTrack lassen sich Viren ebenfalls analysieren. Auch diese Software arbeitet mit Sandboxes.

Neben Software, die im Netzwerk installiert werden muss, sind im Internet auch Online-Dienste zu finden, mit denen einzelne Dateien ebenfalls analysiert werden können. Ein Beispiel für eine Online-Alternative stellt ViCheck dar. Die Datei wird auf die Webseite geladen und anschließend online analysiert. Das Ergebnis kann ViCheck per E-Mail zustellen.

Auch auf der Seite Hybrid-Analysis.com können verdächtige Dateien mit Sandboxes nach Malware durchsucht werden. Für die Analyse muss die entsprechende Datei einfach hochgeladen werden. Anschließend kann noch ausgewählt werden auf welchem Betriebssystem die Analyse durchgeführt werden soll. Weitere Multi-Antivirus-Maschinen haben wir in einem eigenen Beitrag bereits näher vorgestellt. Der Betrieb und die Tests von Cuckoo lassen sich auch online testen. Dazu steht auf der Seite sandbox.pikker.ee ein Dashboard auf Basis von Cuckoo zur Verfügung.

(ID:45200675)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist