drakvuf sandbox des CERT.PL
Das polnische CERT hat eine Sandbox zur Analyse auf GitHUB, welche sich durch einige Features auszeichnet.
Also allemal Wert sich die Sache etwas näher anzusehen, zumal die opensource Alternative "Cuckoo" nicht mehr supported wird.
Die Installation ist recht gut im Wiki beschrieben und wer eine brauchbare virtuelle Umgebung sein Eigen nennt, kann schnell ein Setup bauen.
Nach der erfolgreichen Installation meldet sich die Anwendung auf Port 6300 und per "Upload" bereit Dateien zu Analyse zu empfangen.
Nach erfolgter Analyse (das dauert ein wenig) stehen dann folgende Informationen zur Verfügung:
Abgesehen von der sehr schnellen Aufschluss bietenden graphischen Ablaufanalyse durch proc_plot gibt es noch jede Menge klassischer Protokolle die eine schnelle Einstufung und Analyse der Datei erlauben.
Analysis logs
- apimon
- clipboardmon
- cpuidmon
- delaymon
- drak-postprocess
- drakrun
- exmon
- fileextractor
- filetracer
- inject
- librarymon
- memdump
- procmon
- regmon
- rpcmon
- syscall
- sysret
- windowmon
Damit werden die wichtigsten Erstanalysen aus dem SANS REM abgebildet und man hat einen guten Ausgangspunkt für das Debugging.
Dank an das polnische CERT für die tolle Arbeit. ;-)