软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox

1.Cockoo的功能

Cockoo Sandbox是开源安全沙箱，基于GPLv3。目的是恶意软件（malware analysis）分析。使用的时候将待分析文件丢到沙箱内，分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术，一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比，Cuckoo动态检测。扔到沙箱的可执行文件会被执行，文档会被打开，运行中检测。和不少开源软件学而优则仕一样，Cookoo搞了一个产品，Red Dragon。这种方式也是挺好的一种做开源软件的运营方式，Snort的SourceFire不就是被思科十几亿收购了吗。

Cuckoo它可以分析的内容有：

1.Windows可执行文件，DLL文件

2.PDF，MSOffice文档

3.URL和HTML文档

4.PHP脚本，VB脚本

5.CPL文件

6.ZIP文件，Jar文件

7.Python文件

可以看出，只是Windows平台，外加一些脚本和文件。

Cuckoo的分析结果包含如下内容：

1.函数以及API调用的Call Trace

2.应用拷贝和删除的文件

3.选定进程的内存镜像

4.分析机的full memory dump

5.恶意软件执行时的截屏

6.分析机产生的网络流量

2.部署和使用

下图是Cuckoo的部署，其实很简单，分为host和guests。

Host（管理机）

负责

管理guests

启动分析工作

网络流量收集等。

host依赖一些开源软件，例如

tcpdump用于Guest网络拦截

Volatility用于内存的dump

Guest（虚拟机）

Guest是通用的虚拟机，Xen、VirtualBox等。它运行Cuckoo的Agent，接收Host发过来的任务（文件）运行后获取信息。

Agent是跨平台的（就是Python脚本）可以运行在Windows、Linux和MAC OS上。它实际是是一个XMLRPC server，等待连接。

Cuckoo使用

Cuckoo提供了python命令行工具。

1.使用cuckoo.py启动引擎。

2.使用submit.py像cuckoo提交待分析应用。

3.引擎会和虚拟机中的Agent通信，运行应用。

4.分析结束后，结果输出到特定目录。

3.Hook引擎

cuckoo使用了通用虚拟机做Guest，本身也没有隔离机制和访问控制机制。它特殊的地方就是Hook机制。核心模块cuckoomon（Cuckoo Sandbox Monitor）的源码在这里。它的作用是Hook在可执行程序上，拦截执行流程。 形式上它是一个DLL，会被inject到待分析的恶意软件和它创建的所有进程中。所谓动态分析，就是Hook后的API，在线收集的运行时信息。主要有两个步骤：

3.1 DLL注入

注入是使用Python实现的，流程如下：

1.使用CreateProcess(CREATE SUSPENDED)启动应用

2.使用CreateRemoteThread和QueueUserAPC API调用LoadLibrary注入cuckoomon.dll。

3.Resume进程的主线程

参照下面代码