¿Qué es Cuckoo Sandbox?

Autor: | Última modificación: 5 de septiembre de 2022 | Tiempo de Lectura: 3 minutos

¿Sabes qué es Cuckoo Sandbox y para qué se utiliza esta herramienta en ciberseguridad? Una sandbox es un entorno virtual preparado de manera especial para ejecutar un malware o un archivo sospechoso. En ciberseguridad, sirve para detectar virus y también para estudiar su comportamiento. En este post, hablaremos sobre una herramienta muy útil para analizar malware en máquinas virtuales y te enseñaremos cómo funciona. A continuación, te explicaremos qué es Cuckoo Sandbox.

¿Qué es Cuckoo Sandbox?

Cuckoo Sandbox es un framework de código abierto que permite automatizar pruebas con malware en máquinas virtuales y, además, extraer conclusiones sobre de su comportamiento en forma de informes. Muchos programas de antivirus o plataformas como Virus Total hacen pruebas automatizadas en sandbox, pero la ventaja de Cuckoo es que le permite al investigador crear su propia sandbox para realizar la prueba de algún fichero.

¿Cómo funciona Cuckoo Sandbox?

Para entender mejor qué es Cuckoo Sandbox, explicaremos brevemente cómo funciona y cómo se utiliza esta herramienta de ciberseguridad.

Cuckoo Sandbox es un framework, es decir, un marco de trabajo que se divide en varios módulos de funcionamiento:

Módulos de Cuckoo Sandbox

  • Auxiliary/Machinery: este se podría llamar el módulo inicial de Cuckoo Sandbox, pues está compuesto por la o las máquinas virtuales creadas por el investigador, más todas las configuraciones y ficheros auxiliares del framework.
  • Package: El módulo package es aquel que recibe el fichero sospechoso y determina cuál es su formato. Después, envía el fichero a la máquina virtual con indicaciones para detonarlo. Asimismo, este módulo le «pregunta» constantemente a la máquina virtual (por medio de un servidor HTTP) cómo se está comportando el archivo o la aplicación.
  • Container: el container o contenedor es un módulo compuesto por una serie de directorios que se crean automáticamente con el framework de Cuckoo. Allí se guardan, por categorías, los logs que recibe el módulo de package sobre el comportamiento del fichero.
  • Processing: finalmente, estos logs son analizados de manera automática por Cuckoo. La aplicación te mostrará un informe interactivo sobre los resultados de la prueba, por medio de una interfaz web donde podrás verlos, guardarlos y descargarlos en formato PDF.

¿Cómo usar Cuckoo Sandbox?

Ahora que sabes qué es Cuckoo Sandbox y cuáles son los módulos que lo componen, puedes practicar con esta herramienta e, incluso, adoptarla para tu trabajo. Para ello, el proceso de uso es el siguiente:

  1. Primero, debes configurar los entornos virtuales en los que vas a instalar el framework de Cuckoo Sandbox y correr el análisis. Te recomendamos crear una máquina host virtual para el entorno de prueba. Es decir, debes crear una máquina virtual para instalar allí el framework y, en esa misma máquina virtual, crear la o las sandboxes que usarás en tus análisis.
    Durante este paso, tendrás que cerciorarte de que los entornos de prueba estén debidamente creados, para que una posible muestra de malware no pueda detectar que está en una máquina virtual. Para ello, existen aplicaciones como Pafish, que imitan el comportamiento de un malware para detectar máquinas virtuales.
  2. Luego, debes configurar el framework de Cuckoo Sandbox en la máquina virtual que hospeda los entornos de prueba. Para ello, es necesario leer cuidadosamente dicha configuración y conectar correctamente dichos entornos con el framework.
  3. Finalmente, después de configurar el framework y conectarlo con la o las máquinas virtuales para probar al malware, debes abrir la interfaz web Cuckoo y subir los ficheros que desees analizar. También puedes especificar ciertas condiciones para la prueba, como el tiempo, y recibir un informe detallado en PDF sobre los comportamientos maliciosos.

¿Cómo aprender más?

Ya has aprendido qué es Cuckoo Sandbox, pero el mundo de la ciberseguridad es mucho más amplio. Si quieres saber más sobre análisis de malware y convertirte en un experto, ingresa a nuestro Bootcamp de Ciberseguridad y especialízate en tan solo 7 meses. ¡Únete ahora y conviértete en todo un experto!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!