Cuando iniciamos con esta serie sobre el funcionamiento de Cuckoo, la versión que estaba liberada era la 0.6. Hace poco fue puesta en producción la versión 1.0 de Cuckoo Sandboxcon algunas nuevas funcionalidades que explicaremos a continuación.

Las actividades para hacer la instalación y configuración de Cuckoo siguen la misma lógica, aunque fueron agregados nuevos archivos de configuración.

ESET-archivos-configuracion-cuckoo-sandbox

Una recomedación importante es no sobreescribir los archivos de configuración, ya que si bien se mantiene la misma lógica han cambiado los nombres de algunas instancias por lo cual se van generar conflictos con los archivos fuente.

En esta nueva versión de Cuckoo Sandbox los archivos adicionales de configuración permiten agregar algunas funcionalidades. Por ejemplo el archivo auxiliary.conf permiteconfigurar un sniffer o cualquier modulo o script adicional, el archivo esx.conf permite realizar unas configuraciones adicionales de red, mientras el archivo memory.conf permite configurar las herramientas necesarias para hacer un análisis de volcado de memoria.

La estructura y los comandos necesarios para hacer el análisis sobre un archivo o una URL particular siguen teniendo la misma estructura, por lo cual, una vez que se ha instalado correctamente la herramienta no hay diferencias en su funcionamiento lanzando comandos por consola.

Si bien la información básica de los reportes es similar a la versión anterior, uno de los principales cambios visibles más importantes es la nueva interfaz web, que provee una organización más intuitiva de la información.

ESET-interfaces-web-cuckoo-sandbox

Dentro de las cambios introducidos en esta nueva versión está la interfaz web utilizando Django, nuevos filtros para los análisis de red, módulos para el análisis de protocolo ICMP, configurar un módulo para hacer sniffing sobre una interfaz particular, entre otros cambios.

En la última entrega de esta serie de post, mostraremos como hacer un análisis completo de un archivo considerado como malicioso utilizando Cuckoo Sandbox 1.0. Veremos en funcionamiento las nuevas características de esta buena herramienta y como nos puede ayudar en el análisis de malware.