Cuckoo und Co. Malware-Analyse per Sandbox und Online-Dienst

Autor / Redakteur: Thomas Joos / Stephan Augsten

Cuckoo Sandbox ist eine Open-Source-Anwendung, die im Netzwerk automatisiert nach verdächtigen Aktionen sucht. Das Tool analysiert vorhandene Malware und wertet deren Auswirkungen genau aus. Dieser Beitrag geht außerdem auf alternative Lösungen und Services ein.

Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
(Bild: Archiv)

Die Technologie hinter Cuckoo Sandbox besteht aus einem Host-System und mehreren Clients, auch Sandboxen genannt. Dabei kann es sich sowohl um virtuelle Systeme als auch um normale, physische Computer handeln.

Hat sich auf den Sandbox-Rechnern ein Virus oder anderer Angreifer festgesetzt, wertet das Host-System das Verhalten aus. Die Aktionen des Angreifers genau werden im Detail festgehalten. Dazu ruft der Host vom Sandbox-Rechner Informationen ab und protokolliert diese.

Die Software steht kostenlos zur Verfügung und wird dank des Open-Source-Ansatzes von einer aktiven Community ständig weiterentwickelt. Schwachstellen und Sicherheitslücken werden von den Entwicklern sehr schnell behoben.

So funktioniert Cuckoo Sandbox

Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
(Bild: Archiv)
Die Datenübertragung übernimmt der Client, das heißt die Sandbox. Diese verbindet sich über TCP/IP mit einem frei konfigurierbaren Port auf dem Host. Welcher Port das ist, können Administratoren festlegen. Bei jedem Untersuchungsvorgang überträgt der Host die Konfigurationsdaten auf den Client, damit dieser die notwendige IP-Adresse und den konfigurierten Port kennt.

Die Einrichtung des Tools ist nicht gerade einfach. Anleitungen dazu sind auf YouTube und anderen Seiten zu finden. Nach der Installation wird die Lösung über eine interne Webseite verwaltet.

Alternative Buster Sandbox Analyzer

Die Freeware Buster Sandbox Analyzer ist eine Alternative zu Cuckoo Sandbox. Die Freeware analysiert Rechner und Anwender auf verdächtige Erweiterungen und Angreifer. Das Tool kann sozusagen als Test oder Zusatz-Referenz für Cuckoo Sandbox dienen.

Mit Buster Sandbox Analyzer können Administratoren ebenfalls das Verhalten von Malware untersuchen.
Mit Buster Sandbox Analyzer können Administratoren ebenfalls das Verhalten von Malware untersuchen.
(Bild: Thomas Joos)
Buster Sandbox Analyzer überprüft nicht nur das Dateisystem und die Registry, sondern auch Port-Anpassungen auf Windows-Rechner. Die Software baut auf Sandboxie und die Windows Packet Capture Library WinPcap auf. Die Software muss außerdem nicht installiert werden. Sandboxie und Winpcap gehören ohnehin zu den Standardwerkzeugen von Sicherheitsanalysten im Netzwerk.

Der Vorteil bei der Verwendung von Buster Sandbox Analyzer ist die einfache Bedienung. Das Tool wird in Windows ausgeführt. Administratoren erstellen mit Sandboxie eine neue Sandbox, die den Angreifer oder das verdächtige Programme enthält. Der Pfad der Sandbox wird anschließend mit Buster Sandbox Analyzer analysiert.

Zero Wine Malware Analysis Tool und REMnux

Beim Zero Wine Malware Analysis Tool handelt es sich um ein Wine-Image für Linux, mit dem sich Windows-Malware in Linux untersuchen lässt. Die Open-Source-Anwendung ist eine ideale Ergänzung zu Cuckoo Sandbox.

Nach der Installation von Remnux aktualisieren Administratoren zunächst die Umgebung.
Nach der Installation von Remnux aktualisieren Administratoren zunächst die Umgebung.
(Bild: Thomas Joos)
In diesem Zusammenhang spielt auch REMnux eine wichtige Rolle. Dabei handelt es sich um eine komplette GNU/Linux-Distribution, die für Reverse-Engineering und Malware-Analyse entwickelt wurde. Die Distribution baut auf Ubuntu auf. Bestandteil der Distribution sind zahlreiche Tools für die Analyse von Malware. Eine Liste der Tools ist auf der Webseite der Entwickler zu finden.

Die Distribution steht auch als bereits vorgefertigtes VMware-Image zur Verfügung. Die OVA-Datei können Administratoren bei den Entwicklern und Sourceforge herunterladen und in VMware einbinden. Nach dem Start der VM sollte der Befehl update-remnux full ausgeführt werden. Dieser aktualisiert die Distribution über das Internet.

Online-Dienste für die Malware-Analyse

Auch Online-Dienste können bei der Analyse von verdächtigen Dateien helfen.
Auch Online-Dienste können bei der Analyse von verdächtigen Dateien helfen.
(Bild: Thomas Joos)
Die in diesem Beitrag gezeigten Tools erfordern etwas Einarbeitungszeit und bedeuten Aufwand in Installation und Einrichtung. Daher sind diese Tools vor allem dann geeignet, wenn Administratoren regelmäßig nach Angreifern suchen. Sollen nur einzelne Dateien untersucht werden, helfen auch Online-Dienste bei der Analyse.

Comodo Instant Malware Analysis überprüft die Aktionen, die ausführbare Dateien auf Rechnern durchführen.
Comodo Instant Malware Analysis überprüft die Aktionen, die ausführbare Dateien auf Rechnern durchführen.
(Bild: Thomas Joos)
Ein Beispiel ist die Comodo Instant Malware Analysis. Im Gegensatz zu Online-Virenscannern untersucht das Tool die Dateien nicht nur nach Viren, sondern erstellt eine Analyse, welche Aktionen die ausführbare Datei durchführt. Das ist nicht nur für Malware interessant, sondern auch für andere Dateien, die ausgeführt werden können.

Der Online-Dienst MASTIFF überprüft Dateien auf verdächtiges Verhalten und zeigt die Aktionen ebenfalls an, die Dateien ausführen.
Der Online-Dienst MASTIFF überprüft Dateien auf verdächtiges Verhalten und zeigt die Aktionen ebenfalls an, die Dateien ausführen.
(Bild: Thomas Joos)

Ein weiterer Online-Dienst in diesem Bereich ist MASTIFF Online. Auch hier können Administratoren verdächtige Dateien auf Angreifer überprüfen. ThreatExpert analysiert ebenfalls kostenlos Dateien. Wollen Administratoren mehrere Dateien auf einmal analysieren, ist der Online-Dienst viCheck ideal.

Fazit

Vor allem in mittelständischen und größeren Unternehmen sollte regelmäßig eine Analyse bekannter Viren und anderer Angreifer durchgeführt werden. So können sich Administratoren darauf vorbereiten, welche Aktionen ein Angreifer durchführt, und entsprechende Gegenmaßnahmen planen.

Cuckoo Sandbox gehört zu den umfangreichsten Werkzeugen, ist dafür aber komplizierter in der Bedienung. Wer häufig Malware untersuchen muss, sollte sich Cuckoo in jedem Fall ansehen. Die anderen Tools in diesem Beitrag eignen sich auch für Verwendung in Umgebungen, die weniger oft nach Malware untersucht werden sollen.

(ID:43496572)