El sandbox es una de las herramientas más eficaces para analizar objetos sospechosos y detectar comportamiento malicioso. Por ello, se está implementando esta tecnología en una amplia gama de soluciones de seguridad. Pero la precisión de la detección de amenazas depende directamente de la forma en la que el sandbox emula el entorno en el cual se están ejecutando los objetos.
Qué es un sandbox y cómo funciona
Un sandbox es una herramienta que crea un entorno aislado en el cual se pueden analizar los procesos sospechosos. Normalmente se utiliza una máquina virtual o contenedor, que permite al analista examinar los objetos potencialmente peligrosos sin el riesgo de infectar o dañar un entorno corporativo real ni filtrar datos corporativos importantes.
Por ejemplo, el sandbox en la plataforma Kaspersky Anti Targeted Attack (KATA) funciona de la siguiente forma: si algún componente en la solución de seguridad detecta un objeto peligroso o sospechoso (por ejemplo, un archivo o URL), este se envía al sandbox para su análisis, junto con la información del entorno corporativo (versión del sistema operativo, listado de programas instalados, ajustes del sistema, etc.). El sandbox ejecuta el objeto o navega por la URL, registrando todos los artefactos:
- Registros de ejecución, incluidas las llamadas a la API del sistema, las operaciones de archivos, la actividad de la red, las URL y los procesos a los que accede el objeto.
- Instantáneas de memoria y sistema (volcados).
- Objetos creados (descomprimidos o descargados).
- Tráfico de red.
Después de la prueba del escenario, se analizan los artefactos recopilados y se escanean en busca de actividad maliciosa. Si se encontrara, el objeto se etiqueta como malicioso y las técnicas, tácticas y procedimientos identificados se asignan a la matriz MITRE ATT&CK.
Los desafíos del sandbox
El principal problema de los sandbox es que los ciberdelincuentes saben de su existencia, por lo que trabajan constantemente para mejorar sus mecanismos de evasión. Para ello, los atacantes se centran en desarrollar tecnologías que detecten funciones específicas del sandbox o comportamiento antinatural del usuario virtual. Tras la detección, o incluso simplemente sospecha, de estos signos de alerta, el programa malicioso altera su comportamiento o se autodestruye.
En el caso del malware utilizado para los ataques dirigidos, los ciberdelincuentes analizan meticulosamente la configuración del sistema operativo y el conjunto de programas utilizados en el equipo atacado. La actividad maliciosa se pone en marcha únicamente cuando el software y el sistema cumplen por completo con las expectativas de los atacantes. El malware puede funcionar en intervalos de tiempo estrictamente definidos o activarse después de cierta secuencia de acciones por parte del usuario.
Cómo conseguir un entorno artificial más auténtico
Para engañar a una posible amenaza y hacerla sentir como en un entorno seguro, se implementa la combinación de diferentes estrategias:
- Entornos virtuales variables y aleatorios: se crean múltiples sandbox con diferentes combinaciones de ajustes y software instalado.
- Simulación realista del comportamiento del usuario, incluida la velocidad a la hora de escribir contraseñas, ver texto, mover el cursor o hacer clic con el ratón.
- Uso de una máquina física aislada (no virtual) del entorno de trabajo para analizar los objetos sospechosos relacionados con ataques de hardware y controladores de dispositivos.
- Combinación de análisis estático y dinámico; monitorización del comportamiento del sistema en ciertos intervalos de tiempo; uso de tecnologías de aceleración de tiempo en máquinas virtuales.
- Uso de imágenes de estaciones de trabajo reales en el entorno de destino, incluido el sistema operativo y la configuración de programas, complementos y configuraciones de seguridad.
Nuestro sandbox implementa todas estas técnicas: puede emular el comportamiento de un usuario real, implementar entornos aleatorios y operar en modo manual o automático. Pero, además, recientemente actualizamos nuestra solución extendida de detección y respuesta: la plataforma Kaspersky Anti Targeted Attack, cuyo sandbox integrado ahora te permite usar imágenes de sistema personalizadas pudiendo elegir el sistema operativo (de la lista de compatibles) e instalar programas de terceros. Para más información sobre la plataforma, puedes visitar su página dedicada.