쿡쿠 샌드박스는 오픈소스로 제작된 악성코드 자동 분석 시스템으로 끊임 없이 새로운 기능을 도입하고 새로운 악성코드 분석의 트렌드를 선도한다. 많은 기업과 연구가들이 쿡쿠 샌드박스를 구축하고 추가 개발을 통해 확장하는 흐름을 가진다. 이 책은 쿡쿠 샌드박스를 구축하고, 이 도구에서 지원하는 다양한 오픈소스 도구들을 추가 구축하는 방법을 다룬다. 그 외에 구축하면서 함께 알아두면 좋을 기술과 저자가 쿡쿠 샌드박스를 연구하면서 경험한 팁을 공유한다. 대표적인 팁으로 악성코드 샘플을 무료로 수집할 수 있는 곳, 위협 인텔리전스와 접목할 수 있는 요소 등을 소개한다.

1편. 쿡쿠 샌드박스 개요 및 인프라 구성
1장. 쿡쿠 샌드박스 개요
제 1절 악성코드와 악성코드 분석
제 2절 인텔리전스와 악성코드
바이러스토탈
urlscan.io
Malwr.com
ThreatMiner.org
말테고
제 3절 오픈소스와 라이선스
제 4절 샌드박스와 하이퍼바이저

2장. VM웨어 워크스테이션 설치 및 가상머신 생성
제 1절 가상화 기술 확인 및 설정
제 2절 VM웨어 워크스테이션 다운로드 및 설치
제 3절 VM웨어 워크스테이션 설정
사설 네트워크 IP 대역 설정
가상머신 저장 위치 설정
제 4절 가상머신 생성

3장. 운영체제 설치
제 1절 우분투 16.04 LTS AMD64 Desktop 설치 및 설정
제 2절 우분투 데스크톱 네트워크 설정
제 3절 우분투 업데이트 비활성화
제 4절 우분투 데스크톱 VMware tools 설치

2편. 쿡쿠 샌드박스 기본 구축 및 운영
4장. 쿡쿠 샌드박스 코어 설치
제 1절 기본 구성 패키지 및 C 라이브러리 설치
제 2절 쿡쿠 샌드박스 코어 설치
제 3절 샌드박스 구성
가상머신 다운로드 및 가져오기
샌드박스 구성
제 4절 데이터베이스 구성
스케줄링 데이터베이스 구성
웹 서비스 데이터베이스 구성
제 5절 기본 운영을 위한 쿡쿠 샌드박스 설정
cuckoo.conf 설정
virtualbox.conf 설정
reporting.conf 설정
제 6절 쿡쿠 샌드박스 엔진 및 웹 서비스 실행

5장. 쿡쿠 샌드박스 기본 운영
제 1절 웹 서비스 운영의 이해
제 2절 악성코드 수집 방법
제 3절 악성코드 분석 요청 방식
좌측 제어 창
가운데 제어 창
우측 제어 창
제 4절 악성코드 분석 요청에 따른 상태 변화

6장. 악성코드 분석 결과
제 1절 요약 정보
파일 영역
점수 영역
동작 정보 영역
제 2절 정적 분석 정보
정적 분석
문자열
안티바이러스
IRMA
제 3절 흔적 추출 정보
제 4절 행위 분석 정보
제 5절 네트워크 분석 정보
호스트
DNS
TCP
UDP
HTTP(S
ICMP
IRC
수리카타와 스노트
제 6절 드롭 파일 정보
제 7절 드롭 버퍼 정보
제 8절 프로세스 메모리 정보
제 9절 비교 분석 정보
제 10절 분석 결과 다운로드
제 11절 기타 기능
재 분석
옵션
피드백
사이드바 잠금

7장. 쿡쿠 샌드박스 응용 운영
제 1절 쿡쿠 코어의 기능
제 2절 Nginx, uWSGI 서버 구축
제 3절 쿡쿠 웹 서비스 운영을 위한 web
Nginx와 uWSGI를 이용한 WEB 서버 운영
제 4절 편리한 원격 제어를 위한 api
Nginx와 uWSGI를 이용한 API 서버 운영
분석 요청 관련 쿡쿠 API
분석 결과 관련 쿡쿠 API
운영 관련 쿡쿠 API
제 5절 분석 데이터 초기화를 위한 clean
제 6절 쿡쿠 확장을 위한 community
제 7절 설정 초기화를 위한 init
제 8절 샌드박스 설정 제어를 위한 machine
가상머신 복제
두 번째 샌드박스 설정
새로운 샌드박스 등록 및 운영
제 9절 보고서 처리를 위한 process
악성코드 분석과 보고서 생성 프로세스 분리
제 10절 터미널에서 악성코드 분석 요청을 위한 submit
제 11절 분산처리 시스템을 위한 distributed
제 12절 네트워크 라우팅을 위한 rooter

3편. 쿡쿠 샌드박스 확장 운영
8장. supervisor를 이용한 쿡쿠 샌드박스 서비스 관리 구성

9장. 일래스틱서치 데이터베이스를 활용한 검색 기능 확장
제 1절 일래스틱서치 설치
제 2절 일래스틱서치와 쿡쿠 샌드박스 연동

10장. 볼라틸리티를 이용한 메모리 분석
제 1절 볼라틸리티 설치
제 2절 볼라틸리티와 쿡쿠 샌드박스 연동
제 3절 쿡쿠 샌드박스의 메모리 분석
제 4절 베이스라인 분석

11장. 스노트를 이용한 네트워크 패턴 탐지
제 1절 스노트 설치
제 2절 스노트와 쿡쿠 샌드박스 연동

12장. 수리카타를 이용한 네트워크 패턴 탐지
제 1절 수리카타 설치
제 2절 수리카타와 쿡쿠 샌드박스 연동

13장. 몰록을 이용한 네트워크 포렌식
제 1절 몰록 설치
제 2절 몰록과 쿡쿠 샌드박스 연동

14장. 위협 정보 공유 플랫폼 MISP와 연동
제 1절 MISP 구축
제 2절 MISP와 쿡쿠 샌드박스 연동

15장. 야라를 이용한 정적 패턴 제작
제 1절 야라 패턴 제작

16장. 파이썬 프로그래밍을 이용한 쿡쿠 샌드박스의 동적 패턴 제작

17장. 네트워크 라우팅 구축
제 1절 기본 라우팅
제 2절 inetsim 설치 및 쿡쿠 샌드박스 연동
inetsim 설치 및 설정
inetsim과 쿡쿠 샌드박스 연동
제 3절 토르 설치 및 쿡쿠 샌드박스 연동
토르 설치
토르와 쿡쿠 샌드박스 연동
제 4절 VPN 설치 및 쿡쿠 샌드박스 연동

4편. 악성코드 분석 유형 확장 및 쿡쿠 샌드박스 운영 팁
18장. 응용프로그램 추가를 통한 확장
제 1절 파이어폭스를 이용한 URL 분석
제 2절 JAR 파일 분석
제 3절 PDF 파일 분석
제 4절 기타 문서형 악성코드 구축 팁
제 5절 플래시 플레이어 설치

19장. 쿡쿠 샌드박스 운영 팁
제 1절 우분투 운영체제의 데몬 관리
제 2절 쿡쿠 데몬 관리
제 3절 NginX와 uWSGI 운영에서 대용량 파일 처리 문제
제 4절 분석 결과 대용량 데이터 처리
제 5절 일래스틱서치 필드 한계치 설정