Cuckoo / CAPE Sandbox

Cuckoo / CAPE community

Sandbox automatizado de análise dinâmica — detona e observa o malware.

Análise de Malware e Sandboxing Gratuito e Open Source Plataforma / Suíte Em Estudo Linux

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O Cuckoo Sandbox é a plataforma open-source original de análise dinâmica automatizada. O projeto original está praticamente congelado; seu fork mantido CAPE Sandbox (Config And Payload Extraction) é a escolha moderna e é muito usado em SOCs corporativos.

A submissão é detonada em VM isolada (Windows / Linux / Android) enquanto o sandbox registra:

Traces de API, arquivos dropados, mudanças no registry.
Tráfego de rede (PCAP, queries DNS, domínios C2).
Dumps de memória e matches YARA.
Screenshots e score comportamental.

Casos de uso

Triagem em escala de anexos suspeitos
Extração de config de C2 de amostras empacotadas (CAPE)
Geração de PCAP para engenharia de detecção no SIEM