Cuckoo Sandbox
作者:JochenZou
转载请注明出处:http://blog.csdn.net/youkawa/article/details/46563583
高级持续性威胁(APT)攻击检测和防御系统中,除了在各网络边界进行全流量捕获、异常流量检测等工作之外,还需要在终端对流量中提取和还原的负载进行动态分析。这里提到的动态分析主要是将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态行为来判断样本中是否包含恶意代码。沙箱技术是当前恶意代码检测最常用的程序动态分析技术,主要通过分析在网络流量中提取的文件来检测APT的攻击。
Cuckoo sandbox是一款著名的开源沙箱系统,已经被业界广泛采用,如VirusTotal(一个提供免费的可疑文件分析服务的网站,已被谷歌收购)、THREAT STREAM、In3Sec和ITES project等。Cuckoo sandbox基于虚拟化环境所建立的恶意程序分析系统能自动执行并且分析程序行为,完成对以下行为的记录:
- 恶意程序内部函数与Windows API调用跟踪(API日志);
- 恶意程序执行期间文件创建、删除与下载的操作;
- 以PCAP的形式对恶意程序的网络行为进行跟踪(网络日志);
- 样本的静态数据以及释放文件的行为;
- 程序执行期间桌面操作截图;
- 系统操作:文件/注册/互斥/服务; <