[PPT] - INTRODUCTION H ERE Claudio nex Guarnieri @botherder PowerPoint Presentation

SLIDE 1

SLIDE 2

INTRODUCTION ¡

SLIDE 3

HERE ¡

Claudio ¡“nex” ¡Guarnieri ¡@botherder ¡
Security ¡Researcher ¡at ¡Rapid7 ¡
Core ¡member ¡of ¡The ¡Shadowserver ¡FoundaBon ¡
Core ¡member ¡of ¡The ¡Honeynet ¡Project ¡
Dictator ¡of ¡Cuckoo ¡Sandbox ¡

SLIDE 4

NOT ¡HERE ¡

Mark ¡“rep” ¡Schloesser ¡@repmovsb ¡
Here? ¡
German ¡coding ¡machine ¡
Jurriaan ¡“skier” ¡Bremer ¡@skier_t ¡
Our ¡Dutch ¡Windows ¡wizard ¡
Alessandro ¡“jekil” ¡Tanasi ¡@jekil ¡
Italian ¡Ferrari ¡

SLIDE 5

SANDBOXING ¡

SLIDE 6

PROBLEMS ¡

Process ¡high ¡volumes? ¡
Automate ¡specific ¡tasks? ¡
Integrate ¡with ¡internal ¡security? ¡
Support ¡your ¡Ier-‑1 ¡analysts? ¡

SLIDE 7

PROS ¡

Automate ¡the ¡whole ¡analysis ¡process ¡
Process ¡high ¡volumes ¡of ¡malware ¡
Usable ¡by ¡virtually ¡anyone ¡
Get ¡the ¡actual ¡executed ¡code ¡
Can ¡be ¡very ¡effecIve ¡if ¡used ¡smartly ¡

SLIDE 8

CONS ¡

Can ¡be ¡expensive ¡
Some ¡porIons ¡of ¡the ¡code ¡might ¡not ¡be ¡

triggered ¡

Environment ¡could ¡be ¡detected ¡
Can ¡be ¡a ¡complete ¡waste ¡

SLIDE 9

PREPARATION ¡

Define ¡requirements ¡and ¡expectaBons ¡
Goal ¡
Throughput ¡
Design ¡the ¡analysis ¡environment ¡
Design ¡proper ¡integraIon ¡
Make ¡sense ¡of ¡the ¡data! ¡

SLIDE 10

CUCKOO ¡SANDBOX ¡

SLIDE 11

Automated ¡malware ¡ analysis ¡system, ¡easy ¡ to ¡use ¡and ¡customize. ¡

SLIDE 12

WHY? ¡

We ¡believe ¡in ¡open ¡source ¡
Empower ¡students ¡and ¡researchers ¡
Open ¡architecture ¡for ¡more ¡flexibility ¡and ¡

creaBvity ¡

SLIDE 13

SOME ¡NUMBERS ¡

Almost ¡50000 ¡lines ¡of ¡code, ¡Python ¡and ¡C ¡
4 ¡core ¡developers ¡
~25 ¡contributors ¡over ¡Ime ¡
~8000 ¡downloads ¡of ¡the ¡last ¡version ¡

SLIDE 14

BITS ¡OF ¡HISTORY ¡

Aug ¡ 2010 ¡ 0.1a ¡ Jan ¡ 2011 ¡ 0.1 ¡ Nov ¡ 2011 ¡ 0.2 ¡ Dec ¡ 2011 ¡ 0.3 ¡ Jul ¡ 2012 ¡ 0.4 ¡ Dec ¡ 2012 ¡ 0.5 ¡

SLIDE 15

WHAT ¡YOU ¡NEED ¡TO ¡KNOW ¡

Basic ¡usage ¡of ¡Linux ¡
Basic ¡usage ¡of ¡virtual ¡machines ¡
Knowledge ¡to ¡leverage ¡the ¡results ¡
Windows ¡APIs ¡
Malicious ¡behaviors ¡
With ¡Python ¡you ¡can ¡get ¡awesome! ¡

SLIDE 16

HOW ¡IT ¡WORKS ¡

Pull ¡task ¡ Prepare ¡ analysis ¡ Instrument ¡ the ¡guest ¡ Execute ¡ and ¡log ¡ Process ¡ and ¡report ¡

SLIDE 17

KEY ¡FEATURES ¡

Completely ¡automated ¡
Run ¡concurrent ¡analysis ¡
Able ¡to ¡trace ¡processes ¡recursively ¡
Customize ¡analysis ¡process ¡
Create ¡behavioral ¡signatures ¡
Customize ¡processing ¡and ¡reporIng ¡

SLIDE 18

RESULTS ¡

Behavioral ¡Logs ¡
File ¡dumps ¡
Screenshots ¡
Network ¡traffic ¡
Memory ¡dumps ¡

SLIDE 19

DEMO ¡

SLIDE 20

COMPONENTS ¡

Scheduler ¡ Machine ¡ Manager ¡ Result ¡ Server ¡ Post-‑ Processing ¡ Processing ¡ Signatures ¡ ReporIng ¡ UBls ¡ Submission ¡ Analyzer ¡ Analysis ¡ Package ¡ CuckooMon ¡

SLIDE 21

SUBMISSION ¡

Python ¡API ¡
Command-‑line ¡uIlity ¡
Web ¡uIlity ¡
REST ¡API ¡
OpIons: ¡
Priority ¡
Timeout ¡
Machine ¡
Package ¡
Arguments ¡
Memory ¡dump ¡

SLIDE 22

ANALYSIS ¡PACKAGES ¡

In ¡Analyzer ¡(under ¡analyzer/windows/modules/

packages/) ¡

Python ¡modules ¡
Define ¡how ¡to ¡interact ¡with ¡the ¡malware ¡and ¡

the ¡system ¡

Can ¡be ¡used ¡for ¡scripIng ¡tasks ¡

SLIDE 23

HELPER ¡FUNCTIONS ¡

Create ¡process ¡
Monitor ¡process ¡status ¡
Inject ¡DLL ¡
Take ¡process ¡memory ¡dump ¡

SLIDE 24

SLIDE 25

AUXILIARY ¡MODULES ¡

In ¡Analyzer ¡(under ¡analyzer/windows/modules/

auxiliaries/) ¡

Python ¡modules ¡
Run ¡concurrently ¡to ¡the ¡analysis ¡
Default: ¡
Screenshots ¡
EmulaIon ¡of ¡human ¡interacIon ¡

SLIDE 26

SLIDE 27

PROCESSING ¡MODULES ¡

In ¡Core ¡(under ¡modules/processing/) ¡
Python ¡modules ¡
Process ¡raw ¡results ¡
Populate ¡collecIon ¡of ¡abstracted ¡results ¡

SLIDE 28

SLIDE 29

SIGNATURES ¡

In ¡Core ¡(under ¡analyzer/windows/modules/signatures/) ¡
Python ¡modules ¡
Isolate ¡specific ¡events ¡
IdenIfy ¡malware ¡family ¡
IdenIfy ¡malicious ¡behavior ¡
Extract ¡configuraIon ¡
… ¡

SLIDE 30

SLIDE 31

SLIDE 32

DEMO ¡

SLIDE 33

REPORTING ¡MODULES ¡

In ¡Core ¡(under ¡analyzer/windows/modules/repor6ng/) ¡
Python ¡modules ¡
Make ¡use ¡of ¡abstracted ¡results ¡
Default: ¡
JSON ¡
HTML ¡
MAEC ¡
MongoDB ¡

SLIDE 34

SLIDE 35

COMMUNITY ¡

Community ¡Repository ¡
hcps://github.com/cuckoobox/community ¡
u"ls/community.py ¡

SLIDE 36

USE ¡CASE ¡

APT! ¡APT! ¡APT! ¡
AutomaIcally ¡collect ¡and ¡analyze ¡PoisonIvy ¡
Extract ¡configuraIons ¡
Report ¡PoisonIvy ¡C&C ¡to ¡a ¡backend ¡

SLIDE 37

SLIDE 38

SLIDE 39

SLIDE 40

DEMO ¡

SLIDE 41

CONCLUSIONS ¡

SLIDE 42

JUICY ¡IDEAS ¡

Automate ¡extracIon ¡of ¡bankers ¡configs ¡
Automate ¡extracIon ¡of ¡RAT ¡configs ¡✔ ¡
Automate ¡process ¡memory ¡forensic ¡
Automate ¡unpacking ¡
Any ¡others? ¡

SLIDE 43

SUMMING ¡UP ¡

Open ¡source ¡soluIon ¡(and ¡will ¡remain ¡so) ¡
Flexible ¡and ¡customizable ¡
Easy ¡to ¡integrate ¡
Very ¡acIvely ¡developed ¡

SLIDE 44

FUTURE ¡

0.6 ¡to ¡be ¡released ¡soon! ¡

then ¡

Simplify ¡the ¡analysis ¡results ¡
Add ¡a ¡proper ¡web ¡interface ¡
Improve ¡performances ¡
Bare-‑metal ¡support ¡(almost ¡done) ¡
Add ¡Mac ¡OS ¡X ¡support ¡
Feedback? ¡

SLIDE 45

OTHER ¡STUFF ¡

Malwr ¡
hcps://malwr.com ¡
VxCage ¡
hcps://github.com/cuckoobox/vxcage ¡

SLIDE 46

? ¡

www.cuckoosandbox.org ¡ @cuckoosandbox ¡ ¡ nex@cuckoosandbox.org ¡ @botherder ¡