恶意软件自动化分析沙箱平台

Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统,主体使用python语言开发, 该沙箱提供一个主要的沙箱引擎和一个使用django开发的web界面, 通过web界面或者沙箱系统提供的web api提交可疑文件，沙箱系统即可自动分析。

沙箱在分析完毕后会提供一个详细的分析报告，概述该文件在沙箱中执行时的各种行为,支持分析Windows、macOS、Linux和Android下的恶意文件，国内安全厂商的沙箱很多都是基于这个开源软件改的或者是学习了该沙箱的基础架构设计，然后使用其他不同语言进行编写的。

Cuckoo(布谷鸟)沙箱的项目地址：

https://github.com/cuckoosandbox

相关文档地址：

https://cuckoo-sandbox.readthedocs.io/zh-cn/latest/introduction/sandboxing.html

事实上免费的沙箱确实很难运营下去，因为沙箱的分析和运营都是需要花费大量的成本和精力的，特别是当样本数量达到一定程度时，运营成本会越来越大，如果免费提供服务基本上都没办法运营下去，可以看看国外一些沙箱的价格。

例如最近几年发展很快的Any.Run沙箱https://app.any.run/，价格如下所示：

针对普通的Hunter个人用户每个月费用高达299美元，针对企业用户那就是基本无上限，基于企业的需求以及样本数量等等来定制化了。

ThreatZone沙箱https://app.threat.zone/的价格，如下所示：

普通的个人研究人员的价格为每个月99美元，普通Hunter个人价格也要每个月270美元，企业费用也是定制化的。

国外还有一些大型的做了很久的沙箱平台，例如像JOE、Intezer、Hybrid-Analysis等，相关的费用大家可以去了解一下，三大平台的网站分别为：

JOE:https://www.joesandbox.com/

Intezer:https://analyze.intezer.com/

Hybrid-Analysis:https://www.hybrid-analysis.com/

特别是JOE沙箱，算是全球最顶级的沙箱了，很多世界五百强以及国家政府国防部门都在使用JOE沙箱，费用相当高，不是普通企业能接受的，这里就不多介绍了，有兴趣的可以自己去研究一下，该沙箱平台功能非常强大。

其他的国外沙箱平台，还有：

TriaGe：https://tria.ge/

AlienVault：https://otx.alienvault.com/

Comodo：https://valkyrie.comodo.com/

Iris：https://iris-h.services/pages/dashboard

国内一些沙箱平台笔者就不介绍了，此前文章中有介绍过了，除了上面这些以外，还有一个全球最大的样本沙箱平台，就是VT网站，它集成了多个不同的沙箱平台功能，能快速的关联分析恶意软件样本，网站链接：

https://virustotal.com/

Cuckoo(布谷鸟)项目停止更新之后，有一款新型的CAPE开源沙箱一直在更新，它也是基于Cuckoo修改的，该项目地址：

https://github.com/CAPESandbox

现在又有人基于它开发出CAPEV2版本，项目地址：

https://github.com/kevoreilly/CAPEv2

而且一直在维护，功能已经非常强大，还集成了很多恶意软件的配置信息解析脚本，此前CAPE网站也关闭了，最近不久才在Abuse支持下重新运营起来。

CAPE沙箱网站地址：

https://capesandbox.com/

其实之前也有人利用CAPE搭建过一个自动化分析沙箱，网站地址：

https://cape.threatops.io/

不知道什么时候又会关闭，只要是免费的东西很难长久支撑。

恶意软件自动化沙箱可以帮助安全厂商提升安全分析效率，也是威胁情报的重要生产工具以及来源之一，通过自动化沙箱每天对各种恶意软件进行自动化分析可以获取到很多最新的威胁情报数据，但是自动化沙箱的运营和维护又需要很大的成本，好在现在已经有很好的开源项目可以使用，使用CAPE项目基本上可以满足一些样本的分析工作了。

正如笔者此前说的，沙箱的作用主要是应用批量样本的分析与生产，对于复杂的高对抗型定制攻击样本，沙箱大多数也没有办法完成分析的，都需要专业的人员去人工分析处理，同时可以通过修改沙箱功能，来制定化完成一些复杂样本的辅助分析工作，这又是一个非常漫长且复杂的过程，整个过程都需要专业的安全分析人员花费大量的时间和精力。

关于沙箱的价值，笔者在之前的文章中已经讲的很清楚了，沙箱是安全分析团队最重要的辅助工具之一，同时安全分析能力也是一家专业安全公司最核心能力之一，分析能力是解决问题的关键，沙箱能快速生产样本威胁情报，能自动化关联，提升团队的安全分析效率，使大部分简单的样本能迅速通过沙箱输出威胁情报以及分析报告，提供给需要的客户，可以满足一部分客户的基本需求，对于一些沙箱跑不出来的高端样本，需要安全分析人员对样本进行分析找到具体原因，再将相应的分析能力赋能给沙箱，不断提升沙箱的能力，但是也并不是所有的样本，沙箱都能解决，对于一些高端复杂攻击活动的样本，基本只能通过安全分析人员人工进行详细分析再产出报告，这类分析报告也是成本最高的，同时也是价值最高的，可能并不是每个客户都需要，只针对有高端需求的客户进行输出。

经过笔者团队人员对沙箱的持续改进和运营，大部分普通样本都可以通过沙箱快速输出相关的威胁情报以及分析报告，从拿到样本到输出报告只要几分钟的时间不到，还可以制定化报告的相关内容，通过沙箱的自动化输出及时有效的反馈给客户，获取客户的认可，同时也减少专业安全分析人员的工作量，在真实的黑客攻击活动当中，专业的安全分析人员需要给客户提供样本的更详细分析报告，里面包含：样本的攻击技术、免杀技术、感染传播技术、漏洞详情、样本家族及黑客组织关联信息等。

同时还需要提供样本的清除、检测、防御解决方案等，这就需要专业的安全分析人员进行详细分析了，有兴趣的可以去参考笔者之前的文章

《谈谈安全对抗的本质》

友情提示：

不要随意上传恶意样本到国外一些沙箱平台，有可能造成一些重要信息的泄露，有一些样本里面包含了重要的信息，需要经过深度分析才能发现，对于重要客户的高端样本最好交由专业的安全分析人员分析处理。

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，黑客组织一直在持续更新自己的攻击样本以及攻击技术，不断有企业被攻击，这些黑客组织从来没有停止过攻击活动，非常活跃，新的恶意软件层出不穷，旧的恶意软件又不断更新，需要时刻警惕，可能一不小心就被安装了某个恶意软件。

笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本，跟踪国内外报道的各种安全事件中涉及到的攻击样本等，通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等，可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等，同时还可以推判出他们大概准备做什么，发起哪些攻击活动，以及客户可能会受到什么危害等，通过研究全球的黑客组织以及攻击活动，做到知已知彼，各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者，感谢给笔者提供样本的朋友们！

安全分析与研究，专注于全球恶意软件的分析与研究，深度追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。