Cuckoo Sandbox 기능 설명

Cuckoo Sandbox 기능

Cuckoo Sandbox의 구성 프로그램 설치와 환경 구축을 정상적으로 완료하였다면, Cuckoo Sandbox가 정상적으로 작동하는지에 대한 기능 테스트가 필요하다. 해당 테스트는 악성 코드에 대한 분석과 결과 값이 정상적으로 나타나는지에 대한 간단한 기능 테스트이며, 사전에 분석이 가능한 악성 파일 샘플을 준비하여 진행한다.

악성 파일 분석

본 테스트를 통해 Cuckoo Sandbox의 간단한 기능 소개가 이루어지며, 각 기능이 정상적으로 동작하는지에 대한 확인이 가능하다. 분석에서 사용될 악성 파일은 RAT(Remote Access Trojan) 도구의 Server 파일이며, 실행 시 해당 악성 파일을 빌드한 원격지 호스트의 좀비 PC가 되어 의도하지 않은 작업을 수행하는 등 원격 제어를 당하게 된다.

악성 파일을 업로드하여 분석을 진행하였으나 분석 결과가 정상적으로 나오지 않는 경우가 발생될 수 있다. 이러한 경우 실행 파일의 확장자를 확인하여 실행 가능한 응용 프로그램이 설치되어 있는지 또는 다른 오류로 인해 프로그램 실행이 불가능한지 직접 확인하여 오류를 체크한 뒤 분석을 진행한다.

악성 파일 업로드

-      파일 업로드 시 [Select] 버튼을 클릭하여 파일 탐색 창에서 대상 파일 선택

-      업로드 대상 파일을 선택하여 [열기(O)] 버튼으로 파일을 올리고 [Analyze] 버튼으로 분석 시작

[그림 1] 분석 대상 악성 파일 업로드

 

 

악성 파일 분석

-      정상적으로 파일을 업로드 하였다면, ‘Submission complete!’ 문구와 함께 작업상태 확인 가능

[그림 2] 악성 파일 업로드 및 분석

-      Cuckoo Sandbox가 실행 중인 호스트 PC에서 분석 로그를 확인할 수 있음

[그림 3] Cuckoo Sandbox 분석 로그

분석 결과 Report

분석을 정상적으로 완료하였다면 [Recent] 탭에서 MD5 해시 값의 링크를 클릭하여 분석 결과 Report를 확인할 수 있다. 단, [Recent] 목록에서 나타나는 결과 확인 대상의 상태(Status)가 reported로 표시되어 있어야한다. 분석 결과에서 나타나는 상태(Status) 표시는 reported(결과 정상), reported(결과 오류), completed(분석 완료), running(분석 중)으로 나뉘어진다.

[그림 4] Recent 분석 결과 목록

 

분석 결과 [Summary]

-   [Summary] 탭에서 분석 결과에 대한 요약 정보를 확인할 수 있음

[그림 5] [Summary] 메뉴

분석 결과 [Summary > Signatures]

-   해당 파일 Signature에 대한 분석 정보를 [Signatures] 탭에서 확인할 수 있음

[그림 6] [Summary > Signatures] 탭

분석 결과 [Summary > Screenshots]

-   Guest PC에서 분석되는 동안에 캡처된 스크린 샷을 [Screenshots] 탭에서 확인할 수 있음

[그림 7] [Summary > Screenshots] 탭

 

분석 결과 [Summary > Network]

-      발생된 패킷에 대한 요약 정보를 [Network] 탭에서 확인할 수 있음

-      해당
 탭에서 도메인, 응답 패킷, Host IP 등의 요약 정보 확인 가능

[그림 8] [Summary > Network] 탭

분석 결과 [Summary > Summary]

-      분석 대상 파일의 기본 정보 이외에 레지스트리, 뮤텍스, 경로, 프로세스 등의 요약된 정보를 [Summary] 탭에서 확인할 수 있음

-      드롭퍼(Dropper) 등의 악성 파일에 의해 생성된 악성 파일의 정보 또한 확인할 수 있음

-      해당 탭의 요약 정보를 통해 비교 분석 또는 정적 분석 가능

[그림 9] [Summary > Summary] 탭

 

 

분석 결과 [Static Analysis]

-     대상 파일의 포맷, 버전, 섹션, 리소스 등의 정보를 확인할 수 있으며 이를 통해 정적 분석이 가능함

[그림 10] [Static Analysis] 메뉴

분석 결과 [Behavioral Analysis]

-     분석 중 프로그램이 실행되고 있을 때 프로세스 상태와 시작 및 종료 시간, 로드된 ‘dll’, 리턴 값 등의 정보를 확인할 수 있으며, 이를 통해 동적 분석이 가능함

[그림 11] [Behavioral Analysis] 메뉴

 

 

분석 결과 [Network Analysis]

-      프로그램이 실행되면서 발생된 패킷에 대한 정보를 확인하여 네트워크 패킷 분석이 가능함

-     패킷의 분류는 [Hosts], [DNS], [TCP], [UDP], [HTTP], [ICMP], [IRC], [Suricata], [Snort]로 이루어짐

[그림 12] [Network Analysis] 메뉴

 

분석 결과 [Dropped Files]

-      대상 프로그램이 실행되면서 생성 또는 다운로드된 파일 정보를 확인할 수 있음 

[그림 13] [Dropped Files] 메뉴

 

  

 

분석 결과 [Process Memory]

-      덤프된 프로세스 메모리 정보를 확인할 수 있음

[그림 14] [Process Memory] 메뉴

분석 결과 [Admin]

-      해당 작업에 대한 정보 확인 및 삭제 등의 관리가 가능함 

[그림 15] [Admin] 메뉴