A pilot comparative analysis of the Cuckoo and Drakvuf sandboxes : an end-user perspective

Abstract

Introduction/purpose: This paper reports on a pilot comparative analysis of the Cuckoo and Drakvuf sandboxes. These sandboxes are selected as the subjects of the analysis because of their popularity in the professional community and their complementary approaches to analyzing malware behavior. Methods: Both sandboxes were set up with basic configurations and confronted with the same set of malware samples. The evaluation was primarily conducted with respect to the question of to what extent a sandbox is helpful to the human analyst in malware analysis. Thus, only the information available in Web console reports was considered. Results: Drakvuf is expected to perform better when confronted with evasive malware and so-called “file-less” malware. Although still not mature in terms of integration, customization and tools, this sandbox is considered a second generation sandbox because of its agentless design. On the other hand, the Cuckoo sandbox creates a better overall experience: it is supported through good documentation and strong professional community, better integrated with various tools, support more virtualization, operating system and sample types, and generates more informative reports. Even with a smaller capacity to prevent evasive malware, its Python 2 agent script makes it more powerful than Drakvuf. Conclusion: To achieve the optimal open-source sandbox-based protection, it is recommended to apply both the Cuckoo and Drakvuf sandboxes. In circumstances of limited resources, applying the Cuckoo sandbox is preferable, especially if exposure to malware deploying evading techniques is not frequently expected.

Введение/цель: В данной статье представлен экспериментальный сравнительный анализ программных сред песочниц Cuckoo и Drakvuf. Эти системы были выбраны в качестве предмета анализа из-за их популярности в профессиональном сообществе и их взаимодополняющих подходов к анализу воздействия вредоносных программ. Методы: Обе системы имеют базовые настройки и подвергаются воздействию одного и того же набора вредоносных программ. Анализ преимущественно проводился с целью выявления степени полезности песочниц для аналитика-человека при анализе вредоносных программ. Следовательно, учитывалась только та информация, которая была доступа в отчетах веб-интерфейсов наблюдаемых систем. Результаты: Можно ожидать, что Drakvuf даст лучшие результаты при воздействии вредоносных программ, использующих методы обхода песочниц в виртуальных средах. Несмотря на то, что данная среда пока не достигла своей полной мощности относительно интеграции, настроек и доступных программных инструментов, ее все-таки можно считать представителем второго поколения изолированных систем программной среды, благодаря ее безагентной технологии. С другой стороны, песочница Cuckoo в целом более удобна для пользователей: она поддерживается хорошей документацией и сильным профессиональным сообществом, лучше интегрирована с различными программными инструментами, поддерживает больше видов виртуализации, типов операционных систем и образцов, в том числе она лучше генерирует отчеты. Несмотря на то, что у этой песочницы гораздо меньше возможностей предотвращения атак вредоносных программ в виртуальной среде, применение сценария с выявлением действий вредоносных программ делает эту песочницу более эффективной. Выводы: Для достижения оптимальной защиты на основе песочницы с открытым исходным кодом рекомендуется применять как песочницы Cuckoo, так и Drakvuf. В условиях ограниченных ресурсов предпочтительнее применять песочницу Cuckoo, особенно если не предполагается частое воздействие вредоносных программ, использующих метод уклонения от обнаружения.

Увод/циљ: У раду се приказује упоредна пилот-анализа софтверских окружења Куку и Драквуф за изоловано извршавање програма. Ови системи одабрани су за предмет анализе због своје популарности у професионалној заједници и комплементарних приступа анализи понашања злонамерних програма. Методе: Оба система постављена су на основна подешавања и изложена истом скупу злонамерних програма. Анализа је примарно урађена с аспекта процене степена информативности добијених извештаја о извршавању злонамерних програма за људског аналитичара. Стога су, као предмет анализе, узете у обзир само информације доступне у веб-интерфејсима посматраних система. Резултати: Може се очекивати да ће Драквуф остварити бољи учинак када се изложи злонамерним програмима који примењују технике избегавања извршавања у виртуалним окружењима. Иако ово окружење још увек није остварило пун капацитет у смислу интегрисања, прилагођавања и доступних софтверских алата, може се сматрати представником друге генерације система за изоловано извршавање програма, због свог дизајна који искључује примену софтверског агента. С друге стране, окружење Куку ствара боље свеукупно корисничко искуство: подржано је добром документацијом и јаком професионалном заједницом, боље је интегрисано са различитим софтверским алатима, подржава више типова виртуелизације, оперативних система и типова узорака и генерише информативније извештаје. Иако поседује мањи капацитет за откривање злонамерних програма који примењују технике избегавања извршавања у виртуалним окружењима, могућност примене скрипти с дефиницијама злонамерног понашања програма чини ово окружење ефективнијим. Закључак: Да би се постигла оптимална заштита, заснована на окружењима отвореног кода за изоловано извршавање програма, препоручује се примена оба разматрана система. У условима ограничених ресурса, примена система Куку пожељнија је, посебно ако се не очекује често излагање злонамерним програмима који примењују технике избегавања извршавања у виртуалним окружењима.