La hora del Cuckoo

Cuckoo es una sencilla herramienta de análisis automático de malware de tipo sandbox.

Se trata de un proyecto que arrancó durante el Google Summer of Code 2010 dentro de la organización del Honeynet Project con las siguientes ideas:


- proporcionar un producto de código abierto para ser lanzado bajo licencia GPL, para permitir personalizarlo y para hacerlo crecer alrededor de una comunidad de desarrollo.
- proporcionar un instrumento capaz de analizar cualquier tipo de archivo malicioso y obtener el mejor análisis de comportamiento fuera de él.
- proporcionar un entorno limitado que puede ser configurado para ejecutarse tanto en máquinas virtuales como en máquinas físicas.
- hacerlo distribuido.

Cuckoo tiene todavía un largo camino por recorrer antes de alcanzar todas las metas que se fijaron inicialmente, pero está en el buen camino ;-). De momento sus características son las siguientes:

- Descarga ficheros desde URLs remotas para analizarlos.
- Traza las llamadas relevantes a la API para analizar el comportamiento.
- Monitoriza recursivamente nuevos procesos 'spawned'.
- Vuelca el tráfico de red generado.
- Ejecuta análisis concurrentes en múltiples máquinas.
- Soporta el análisis personalizado de un paquete basado en scripting AutoIt3.
- Intercepta ficheros descargados y eliminados.
- Toma capturas de pantalla durante el tiempo de ejecución.

En definitiva una nueva herramienta de análisis de malware que testear y otra que añadir a nuestra lista de productos de tipo sandbox:

Comentarios