Sandbox zelf maken
Het installeren van de huidige Cuckooversie 2.0.3 is zowel onder Linux en macOS als onder Windows mogelijk, ook al ontbreekt een installatiehandleiding voor Windows nog in de officiële manual. Onafhankelijk van het besturingssysteem bestaat de eerste stap uit het downloaden en installeren van verschillende pakketten en bibliotheken en (deels optionele) extra componenten als MongoDB, PostgreSQL en tcpdump.
Op Linux-systemen moet vervolgens een nieuwe user toegevoegd worden om Cuckoo zelfstandig virtuele guest-machines te kunnen laten starten. Het eigenlijke installeren van Cuckoo werkt het makkelijkst met de Python-eigen installatiemanager PIP. Daar zijn aanpassingen aan meerdere configuratiebestanden van Cuckoo voor gedaan, voor bijvoorbeeld randvoorwaarden aan de communicatie tussen host en guest, de analysemanier en het opslaan van de resultaten.
Het installeren van de gewenste virtualisatiesoftware gebeurt onafhankelijk van de Cuckoo-installatie. In de manual wordt met VirtualBox gewerkt en worden Windows 7 (64 bit) en als alternatief Windows XP genoemd als analyseomgeving. Om zuivere resultaten te krijgen, moet je bij de guests de User Account Control (UAC), firewall en automatische updates deactiveren. De koppeling tussen host en guest(s) gebeurt met het installeren van agentcomponenten en het configureren van het verbindende netwerk.
Na het aanmaken van een herstelpunt en het klonen van de virtuele machine is Cuckoo in principe klaar voor gebruik. Om ook echt van de installatie te profiteren, moet je de sandbox echter nog uitbreiden met signatures en optionele extra modules. Er is een groot aantal populaire analysetools als YARA en Volatility beschikbaar, die in de sandbox en ten dele ook in de grafische interface te integreren zijn. Een goed startpunt voor het zoeken naar mogelijke uitbreidingen is de GitGubrepository van de Cuckoo-community. Ook loont het om in het gedetailleerde handboek te kijken – beide zijn te vinden via de link onderaan dit artikel.