Cuckoo und Co. Malware-Analyse per Sandbox und Online-Dienst

Von Thomas Joos

Anbieter zum Thema

Cuckoo Sandbox ist eine Open-Source-Anwendung, die im Netzwerk automatisiert nach verdächtigen Aktionen sucht. Das Tool analysiert vorhandene Malware und wertet deren Auswirkungen genau aus. Dieser Beitrag geht außerdem auf alternative Lösungen und Services ein.

Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
(Bild: Archiv)

Die Technologie hinter Cuckoo Sandbox besteht aus einem Host-System und mehreren Clients, auch Sandboxen genannt. Dabei kann es sich sowohl um virtuelle Systeme als auch um normale, physische Computer handeln.

Hat sich auf den Sandbox-Rechnern ein Virus oder anderer Angreifer festgesetzt, wertet das Host-System das Verhalten aus. Die Aktionen des Angreifers genau werden im Detail festgehalten. Dazu ruft der Host vom Sandbox-Rechner Informationen ab und protokolliert diese.

Die Software steht kostenlos zur Verfügung und wird dank des Open-Source-Ansatzes von einer aktiven Community ständig weiterentwickelt. Schwachstellen und Sicherheitslücken werden von den Entwicklern sehr schnell behoben.

So funktioniert Cuckoo Sandbox

Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
Die Cuckoo Sandbox wird über eine Web-Schnittstelle verwaltet.
(Bild: Archiv)

Die Datenübertragung übernimmt der Client, das heißt die Sandbox. Diese verbindet sich über TCP/IP mit einem frei konfigurierbaren Port auf dem Host. Welcher Port das ist, können Administratoren festlegen. Bei jedem Untersuchungsvorgang überträgt der Host die Konfigurationsdaten auf den Client, damit dieser die notwendige IP-Adresse und den konfigurierten Port kennt.

Die Einrichtung des Tools ist nicht gerade einfach. Anleitungen dazu sind auf YouTube und anderen Seiten zu finden. Nach der Installation wird die Lösung über eine interne Webseite verwaltet.

Alternative Buster Sandbox Analyzer

Die Freeware Buster Sandbox Analyzer ist eine Alternative zu Cuckoo Sandbox. Die Freeware analysiert Rechner und Anwender auf verdächtige Erweiterungen und Angreifer. Das Tool kann sozusagen als Test oder Zusatz-Referenz für Cuckoo Sandbox dienen.

Mit Buster Sandbox Analyzer können Administratoren ebenfalls das Verhalten von Malware untersuchen.
Mit Buster Sandbox Analyzer können Administratoren ebenfalls das Verhalten von Malware untersuchen.
(Bild: Thomas Joos)

Buster Sandbox Analyzer überprüft nicht nur das Dateisystem und die Registry, sondern auch Port-Anpassungen auf Windows-Rechner. Die Software baut auf Sandboxie und die Windows Packet Capture Library WinPcap auf. Die Software muss außerdem nicht installiert werden. Sandboxie und Winpcap gehören ohnehin zu den Standardwerkzeugen von Sicherheitsanalysten im Netzwerk.

Der Vorteil bei der Verwendung von Buster Sandbox Analyzer ist die einfache Bedienung. Das Tool wird in Windows ausgeführt. Administratoren erstellen mit Sandboxie eine neue Sandbox, die den Angreifer oder das verdächtige Programme enthält. Der Pfad der Sandbox wird anschließend mit Buster Sandbox Analyzer analysiert.

(ID:43496572)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung