Cuckoo und Co.

Malware-Analyse per Sandbox und Online-Dienst

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet. (Bild: Archiv)

Cuckoo Sandbox ist eine Open-Source-Anwendung, die im Netzwerk automatisiert nach verdächtigen Aktionen sucht. Das Tool analysiert vorhandene Malware und wertet deren Auswirkungen genau aus. Dieser Beitrag geht außerdem auf alternative Lösungen und Services ein.

Die Technologie hinter Cuckoo Sandbox besteht aus einem Host-System und mehreren Clients, auch Sandboxen genannt. Dabei kann es sich sowohl um virtuelle Systeme als auch um normale, physische Computer handeln.

Hat sich auf den Sandbox-Rechnern ein Virus oder anderer Angreifer festgesetzt, wertet das Host-System das Verhalten aus. Die Aktionen des Angreifers genau werden im Detail festgehalten. Dazu ruft der Host vom Sandbox-Rechner Informationen ab und protokolliert diese.

Die Software steht kostenlos zur Verfügung und wird dank des Open-Source-Ansatzes von einer aktiven Community ständig weiterentwickelt. Schwachstellen und Sicherheitslücken werden von den Entwicklern sehr schnell behoben.

So funktioniert Cuckoo Sandbox

Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet. (Bild: Archiv)

Die Datenübertragung übernimmt der Client, das heißt die Sandbox. Diese verbindet sich über TCP/IP mit einem frei konfigurierbaren Port auf dem Host. Welcher Port das ist, können Administratoren festlegen. Bei jedem Untersuchungsvorgang überträgt der Host die Konfigurationsdaten auf den Client, damit dieser die notwendige IP-Adresse und den konfigurierten Port kennt.

Die Einrichtung des Tools ist nicht gerade einfach. Anleitungen dazu sind auf YouTube und anderen Seiten zu finden. Nach der Installation wird die Lösung über eine interne Webseite verwaltet.

Alternative Buster Sandbox Analyzer

Die Freeware Buster Sandbox Analyzer ist eine Alternative zu Cuckoo Sandbox. Die Freeware analysiert Rechner und Anwender auf verdächtige Erweiterungen und Angreifer. Das Tool kann sozusagen als Test oder Zusatz-Referenz für Cuckoo Sandbox dienen.

Mit Buster Sandbox Analyzer können Administratoren ebenfalls das Verhalten von Malware untersuchen.
Mit Buster Sandbox Analyzer können Administratoren ebenfalls das Verhalten von Malware untersuchen. (Bild: Thomas Joos)

Buster Sandbox Analyzer überprüft nicht nur das Dateisystem und die Registry, sondern auch Port-Anpassungen auf Windows-Rechner. Die Software baut auf Sandboxie und die Windows Packet Capture Library WinPcap auf. Die Software muss außerdem nicht installiert werden. Sandboxie und Winpcap gehören ohnehin zu den Standardwerkzeugen von Sicherheitsanalysten im Netzwerk.

Der Vorteil bei der Verwendung von Buster Sandbox Analyzer ist die einfache Bedienung. Das Tool wird in Windows ausgeführt. Administratoren erstellen mit Sandboxie eine neue Sandbox, die den Angreifer oder das verdächtige Programme enthält. Der Pfad der Sandbox wird anschließend mit Buster Sandbox Analyzer analysiert.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43496572 / Malware)