AntiCuckoo: una herramienta para detectar y crashear el Sandbox de Cuckoo

David Reguera de Buguroo está trabajando en el desarrollo de anticuckoo, una herramienta escrita en C/C++ para detectar y crashear el sandbox de Cuckoo:

- se ha probado en la versión oficial y la de Accuvant
- detecta toda clase de hooks de Cuckoo
- busca datos sospechosos en memoria, sin APIs, escaneando página por página
- con el argumento "-c1" provoca un crash del sandbox. Lo hace modificando el valor de la instrucción RET N de una API hookeada (el HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la intrucción RET N modificada corrompe su stack)


TODO
- agente y proceso de detección en python (al 70%)
- mejorar la detección comprobando los bytes correctos en los sitios conocidos (por ejemplo las APIs nativas siempre tienen las mismas firmas, etc.).
- detección de las entradas TLS de Cuckoo

Repositorio: https://github.com/David-Reguera-Garcia-Dreg/anticuckoo

Comentarios