Sommaire

Utilisation de Cuckoo Sandbox Cuckoo Sandbox

1. Introduction

En analyse de malwares, les sandboxes (ou bacs à sable en français) sont des environnements clos et isolés où sont exécutés les malwares. Ces outils enregistrent toutes les activités du sample soumis (activités dans la base de registre, fichiers créés, appels système exécutés...) et finalement génèrent des rapports.

Il existe une sandbox libre, appelée Cuckoo Sandbox. Elle est disponible à l’adresse suivante : http://www.cuckoosandbox.org/. Le principe de Cuckoo Sandbox est simple, elle utilise une machine virtuelle de VirtualBox dans laquelle un agent a été installé. Cuckoo Sandbox démarre cette machine virtuelle, enregistre l’activité du malware, stocke ces informations sur la machine hôte et finit par éteindre la machine virtuelle en restaurant un snapshot pour que la machine soit de nouveau propre et opérationnelle pour une nouvelle analyse.

2. Configuration

La configuration de Cuckoo Sandbox se fait au niveau du répertoire conf/ et principalement grâce au fichier cuckoo.conf.

Voici quelques variables importantes du fichier cuckoo.conf :

  • machinery : cette variable spécifie le type de virtualisation que Cuckoo Sandbox devra supporter. Par défaut, l’application supporte VirtualBox. Mais il est possible d’utiliser Xen ou encore KVM.

  • Ip et port : ces deux variables permettent de configurer ...