Cuckoo V1’den türetilen Cape, dinamik davranışlarını yakalarken ve adli artefaktları toplarken, izole bir ortamda kötü amaçlı dosyaları yürütmek için tasarlanmış sofistike bir kötü amaçlı yazılım kum havuzudur.
Bu platform, otomatik dinamik kötü amaçlı yazılım açma, paketlenmemiş yüklerin Yara tabanlı sınıflandırması ve hem statik hem de dinamik kötü amaçlı yazılım yapılandırma çıkarma ekleyerek Cuckoo’nun yeteneklerini geliştirir.
Cape ayrıca, özel ambalaj ve yapılandırma çıkarıcılarının, dinamik sandbox karşı önlemleri, talimat izleri ve etkileşimli bir masaüstüne izin veren YARA imzaları aracılığıyla programlanabilen otomatik bir hata ayıklayıcı bulunur.
Geliştirilmiş yetenekler ve özellikler
Cape’nin gelişmiş özellikleri arasında API kancasına dayalı davranışsal enstrümantasyon, yürütme sırasında oluşturulan, değiştirilmiş veya silinen dosyaları yakalama, PCAP formatında ağ trafiği yakalama ve davranışsal ve ağ imzalarına dayalı kötü amaçlı yazılım sınıflandırması bulunur.
Ayrıca, kötü amaçlı yazılım yürütme sırasında masaüstünün ekran görüntülerini yakalar ve hedef sistemin tam bellek dökümlerini gerçekleştirir.
Platform, RatDecoders, DC3-MWCP, Malduck ve Maco gibi çeşitli yapılandırma ayrıştırma çerçevelerini destekler, ancak Sadelik ve Yeniden Kullanılabilirlik için Cape’nin kendi çerçevesini kullanmanızı önerir.
Cape’deki hata ayıklayıcı, hata ayıklayıcı eylemlerini YARA imzaları içinde birleştirerek dinamik anti-evyon bypass’larını sağlayan önemli bir bileşendir.
Rapora göre, bu, kaçan kötü amaçlı yazılımın tespit edilmesine ve numuneyi tamamen patlatmaya veya kaçamaklı eylemleri atlamaya zorlamak için kontrol akışının manipülasyonuna izin verir.
Kullanıcılar gibi seçenekleri kullanarak kesme noktaları ayarlayabilir bp0 başından sonuna kadar bp3ve bu kesme noktaları vurulduğunda bellek bölgelerini boşaltma veya yürütme kontrol akışını değiştirme gibi eylemler gerçekleştirin.
Topluluk ve Kalkınma
Cape, özellikle Cape’yi Python 3’e taşıyan ve 2019’da Capev2’nin piyasaya sürülmesine yol açan Andriy ‘Doomedraven’ Brukhovetskyy’den önemli katkılar gördü.
Proje, Libvirt sürümleri ve MongoDB temizliği ile ilgili sorunların hafifletilmesi gibi son düzeltmeler ve geliştirmeler de dahil olmak üzere güncellemeler ve iyileştirmelerle gelişmeye devam ediyor.
Topluluk, çeşitli kötü amaçlı yazılım aileleri için yeni imzalar, ayrıştırıcı veya baypas geliştirerek katkıda bulunmaya teşvik edilir.
Cape’nin gelişimi, optimum performans için Ubuntu 24.04 LTS ve Windows 10 21H2’nin kullanılmasını öneren sağlam bir kurulum kılavuzu tarafından desteklenmektedir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin