تستخدم منصة تحليل البرمجيات الضارة “Cuckoo” لتحليل البرامج والملفات الضارة والغير موثوقة وغير معروفة. وتتم عملية التحليل للملفات داخل بيئة معزولة حيث يتم تشغيل الملف وتحليل الاكواد البرمجية وتحليل السلوكيات التي يقوم بها الملف عبر النظام أو الشبكة. ولجعل المنصة ذات قيمة تم ربطها مع منصة “MISP” التي تحتوي على قاعدة بيانات كبيرة جدا من مؤشرات الاختراق IOCs التي يتم تحديثها بشكل مستمر من قبل المجتمع المعني بمشاركة التهديدات التي تشكل خطرا على الأنظمة والشبكات، وكذلك تم ربط هذه المنصة بأداة "Moloch" والتي تساعد في تحليل تدفق حزم البيانات التي تخرج من الشبكة اثناء تحليل البرمجيات الخبيثة.
- اضافة وربط منصة MISP
- اضافة وربط أداة Moloch
- متوافق مع نسخة نسخة 18.04 من نظام Ubuntu
- يعمل على مواصفات منخفضة 4RAM و2 Processor (يفضل رفعها لأداء أسرع)
تعمل المنصة على عزل البرامج الغير معروفة والغير الموثوقة وتنفيذها. حيث يتم استخدام المنصة لتحليل البرامج الضارة ديناميكيًا في بيئة معزولة، ثم استخراج السلوكيات الديناميكية مثل سلوك العملية وسلوك الشبكة أثناء تشغيله.
للتحميل من
هنا
(تم تجربته فقط على VMWare)
منصة مفتوحة المصدر لمشاركة المعلومات في مجال الأمن السيبراني وهي عملية تبادل المعلومات بين المهتمين في الحماية على مستوى العالم لرفع مستوى حماية البنى التحتية من خلال مشاركة مؤشرات الاختراق IOCs فيما بينهم.(جميع الملفات التي يتم تحليلها من خلال Cuckoo يتم تخزينها في النظام الداخلي ولا يتم مشاركتها باي شكل من الاشكال مع المجتمع حتى تقوم بالسماح بذلك )
تستخدم لتسجيل والتقاط واجراء عمليات البحث عند مرور حزم البيانات عبر الشبكة مما تساعد المحلل بمعرفة سلوكيات الملف المشبوة في الشبكة.
معلومات تسجيل الدخول
- أسم المستخدم: cuckoo
- كلمة السر: students
- الامر الاول: cuck1
- الامر الثاني: cuck2
- الامر الثالث: cuck3
- يرمز الى رقم الحادثة التي تطابقت مع تحليل منصة Cuckoo
- يرمز الى تاريخ إضافة الحادثة الى قاعد بيانات MISP
- يرمز الى مؤشر الاختراق الذي تطابق مع قاعدة بيانات MISP وهنا يظهر لنا تطابق الهاش
- هنا توضيح بعض المعلومات عن الحادثة
| الخطأ | الحل |
|---|---|
| CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1 | فتح برنامج الVirtualbox وتشغيل نظام الويندوز بشكل يدوي |
| فشل الاتصال في اداة Moloch | service molochviewer stop && service molochviewer start#~ |
| لحذف الملفات من قاعدة البيانات | cuckoo clean#~ |