Cuckoo Sandbox vs Cuckoo3

Cuckoo Sandbox는 오픈 소스 악성코드 분석 도구로 많은 보안 전문가들이 신뢰해 온 강력한 도구이다.
Cuckoo3는 최신 버전으로 성능과 기능 측면에서 많은 발전을 이루었다.
Cuckoo Sandbox와 Cuckoo3의 주요 기능과 성능을 비교하여 보고자 한다.

언어

cukoo Sandbox

• Cuckoo Sandbox의 초기 버전은 Python 2로 개발되었다.
• 그러나 Python 2의 공식 지원이 2020년에 종료됨에 따라 Python 2로 작성된 프로젝트는 향후 업데이트 및 유지 보수에 어려움을 겪게 되었다.

Cuckoo3

• Cuckoo3는 Python 3로 재작성 되었다.

확장성 및 성능

Cuckoo Sandbox

• Cuckoo Sandbox는 멀티스레딩을 지원했다.
• 가상 머신(VM)을 개별적으로 운영하며 각 분석 작업이 독립적이 프로세스로 처리되었다.
• 동시 작업 처리에 한계가 있고 대규모 작업 시 성능 저하가 발생할 수 있다.

Cuckoo3

• 멀티스레딩 대신 멀티프로세싱을 도입하여 여러 CPU 코어를 병렬로 활용할 수 있다.
• 하나의 제출물에서 여러 가상 머신을 동시에 실행할 수 있는 다중 플랫폼 분석 기능을 제공한다.
  이를통해 다양한 운영 체제와 플랫폼에서 동시에 분석을 수행할 수 있다.
  
• Cuckoo3는 분산 분석 기능을 통해 여러 서버에 걸쳐 가상 머신을 배포하고 이를 통합적으로 관리할 수 있다.
  이는 클러스터링을 통해 대규모 샘플을 빠르게 분석할 수 있으며 리소스 사용의 효율성을 극대화할 수 있습니다.
  예를 들어 여러 대의 서버에 걸쳐 수백 개의 가상 머신을 운영하면서 동시에 샘플을 분석할 수 있다.

  클러스터링(Clustering)은 여러 독립적인 컴퓨터나 서버를 그룹으로 묶어 하나의 시스템처럼 작동하도록 하는 기술이다.
  이는 시스템의 성능, 신뢰성, 확장성 등을 향상시키기 위해 사용된다.

악성 코드 탐지 및 분석 기능

Cuckoo Sandbox

• 사용자 모드 에이전트를 사용하여 악성코드의 행동을 모니터링하는 방식으로 설계되었다.
  악성코드의 의심스러운 행동을 탐지할 수 있지만 시스템의 깊은 레벨에서 발생하는 이벤트는 감지하기 어려운 한계가 발생한다.

  사용자 모드 에이전트는 운영 체제의 사용자 모드에서 실행되는 프로그램이다
  이 모드는 시스템의 핵심 기능에 접근할 수는 없지만, 응용 프로그램 수준인 파일 시스템 접근, 레지스트리 변경, 네트워크 통신 등을 추적하며 악성코드의 활동 등을 기록한다.

Cuckoo3

• 커널 모드 에이전트를 도입하여 시스템의 더 깊은 레벨에서 악성코드의 행동을 모니터링한다.
  이는 운영 체제의 핵심 부분에 직접 접근한다.

  커널 모드 에이전트는 운영 체제의 커널 모드에서 실행되는 프로그램으로, 시스템의 핵심 부분에 직접 접근할 수 있다.
  이 모드는 하드웨어와 가장 가까운 수준에서 시스템 활동을 모니터링할 수 있다.

• Cuckoo3의 시그니처 엔진은 YAML 스타일의 서명 형식을 도입하여 악성코드의 행동을 더 정확하게 탐지한다.

• Mitre ATT&CK v8을 지원함으로써 최신 사이버 위협에 대한 심층 분석을 가능하게 한다다.

  MITRE ATT&CK™는 사이버 공격에 대한 포괄적인 지식을 제공하는 지식 기반 모델로, 공격자들이 사용하는 전술, 기법, 절차(TTPs)를 체계적으로 정리한 것 이다.

• Cuckoo3는 모듈식 정적 분석 기능을 지원하며, IoC(Indicators of Compromise) 필터링을 통해 불필요한 오탐을 줄이고 정확한 탐지가 가능하다.

  IOC(Indicators of Compromise)는 악성코드나 보안 위협의 흔적을 나타내는 데이터이다.
  IOC 필터링은 이들 지표를 기반으로 분석 데이터를 필터링하는 과정이다.

통합 및 호환성

Cuckoo Sandbox

• 타사 도구와의 통합이 제한적이다.
  기본적인 악성코드 분석 도구로서 파일 제출과 결과 보고를 지원하는 데는 충분했지만 다양한 위협 인텔리전스 도구와의 연계는 부족했다.

Cuckoo3

• Cuckoo3는 MISP(악성코드 정보 공유 플랫폼) 및 IntelMQ(위협 인텔리전스 처리 플랫폼)와의 간편한 통합을 지원합니다. 이를 통해 다양한 위협 인텔리전스 데이터를 자동으로 수집하고 공유할 수 있다.

  MISP와 IntelMQ는 위협 인텔리전스 데이터를 수집하고 공유하는 도구이다.
  분석된 데이터를 자동으로 공유하고 수집할 수 있다.

결론

Cuckoo Sandbox와 Cuckoo3는 각각의 강점과 약점을 가지고 있습니다.

Cuckoo Sandbox는 초기 설정이 비교적 간단하며 다양한 악성코드를 분석할 수 있는 기능을 제공했습니다.

그러나 Python 2 기반의 한계와 최신 운영 체제 지원 부족으로 인해 현대 보안 환경에서는 제약이 있을 수 있습니다.

반면 Cuckoo3는 이러한 문제를 해결하고자 나타났으며 Python 3 기반으로 최신 언어와 보안 기능을 활용하며 성능과 확장성에서 향상을 이루었다.