導入
DRAKVUF Sandbox は、内部に DRAKVUF エンジンを備えた自動ブラックボックス マルウェア分析システムであり、ゲスト OS 上にエージェントを必要としません。このプロジェクトは、分析のために疑わしいファイルをアップロードできるフレンドリーな Web インターフェイスを提供します。サンドボックス ジョブが完了したら、上記のインターフェイスを通じて分析結果を調査し、ファイルが本当に悪意のあるものであるかどうかを確認できます。
マルウェア サンドボックスのセットアップは難しい場合が多いため、このプロジェクトでは、必要な手順をガイドし、初心者に推奨される設定でシステムを構成するインストーラー アプリケーションも提供します。一方、経験豊富なユーザーは、ニーズに合わせて一部の設定を調整したり、一部のインフラストラクチャ部品を交換したりすることもできます。
サポートされているハードウェアとソフトウェア
DRAKVUF サンドボックスを実行するには、セットアップがリストされている要件をすべて満たしている必要があります。
プロセッサ:
✔️ 「Intel Virtualization Technology」 (VT-x) および「Extended Page Table」 (EPT) を搭載した Intel プロセッサが必要
少なくとも 2 つのコア CPU と 5 GB RAM を備え、GRUB をブートローダーとして実行するホスト システム。次のいずれかです。
✔️ Debian 10 バスター
✔️ Ubuntu 18.04 バイオニック
✔️ Ubuntu 20.04 フォーカス
ゲスト システム。次のいずれかです。
✔️ Windows 7(x64)
✔️ Windows 10 ビルド 2004 (x64)
ネストされた仮想化:
✔️ Xen - すぐに使える。
✔️ VMware Workstation Player - 動作しますが、仮想マシンの [Virtualize EPT] オプションをオンにする必要があります。それでも EPT を備えた Intel プロセッサが必要です。
✔️ KVM - 動作しますが、実験的とみなされます。バグが発生した場合は、さらに調査できるよう、弊社までご報告ください。
❌ AWS、GCP、Azure - クラウドでの DRAKVUF サンドボックスのホスティングは、CPU 機能が公開されていないためサポートされていません (ただし、これは将来変更される可能性があります)。
❌ Hyper-V - 動作していません。
❌ VMWare Fusion (Mac) - 動作しません。
リンク
https://github.com/CERT-Polska/drakvuf-sandbox