Ao contrário de uma sandbox, que precisa virtualizar todo o sistema operacional, esta ferramenta emula apenas componentes específicos do Windows (chamadas de API, objetos, threads, registros, etc) a fim de entender o comportamento do arquivo executado e tentar identificar as ação relevante executadas:
Além de arquivos completos podemos emular também um ambiente que será responsável pela execução de shellcodes:
A ferramenta é feita em Python3 e pode ser executada tanto como uma ferramenta de linha de comando como também uma biblioteca, abrindo espaço para instrumentação/automação. Além disso, a ferramenta também pode se executada via container utilizando docker e também em qualquer ambiente em cloud, tendo em vista que não precisamos configura-la, apenas instalar e rodar.
Pelo fato do sistema operacional não ser emulado por completo nem todas as chamadas de API serão suportados no ponto de vista de emulação. Com esta "limitação" em mente os desenvolvedores criaram uma forma bem prática de adicionar os hooks que estão faltando (não sendo emulados), permitindo que qualquer pessoa que tenha interesse possa mitigar este problema. Para mais informações vale dar uma olhada no REAME do projeto ?.
E para aqueles que nos acompanharam semana passada quando falamos do IntelOwl vale lembrar que ele também utiliza o speakeasy!