Qué es un sandbox y por qué necesitas uno para el análisis de malware

Un sandbox es un entorno informático y de red aislado que se utiliza para analizar el comportamiento del software. Este tipo de entorno se crea generalmente para ejecutar archivos sospechosos y determinar si representan una amenaza de malware. Algunos sandboxes también están diseñados para verificar las URL y determinar si son sospechosas y pueden llevar a la infección por malware. Los sandboxes modernos permiten a las empresas o individuos analizar cualquier tipo de archivo, incluidos archivos de Microsoft Office, archivos PDF y cualquier archivo ejecutable.

Qué es un sandbox y por qué necesitas uno para el análisis de malware - Software | Imagen 1 Newsmatic

Todos los archivos recibidos por las empresas deben ser verificados en un sandbox antes de entregárselos al usuario, para evitar infecciones por malware. Las soluciones de sandboxing se pueden integrar en cualquier parte del entorno informático empresarial, como la verificación de archivos adjuntos de correo electrónico o descargas de archivos, entre otros.

Índice de Contenido
  1. Límites de los sandboxes
  2. ¿Qué es el sandbox ANY.RUN?
  3. ¿Qué es Joe Sandbox?
  4. ANY.RUN vs. Joe Sandbox: Funcionalidades comunes
  5. ANY.RUN vs. Joe Sandbox: ¿Qué sandbox de análisis de malware deberías elegir?

Límites de los sandboxes

Los sandboxes tienen limitaciones debido a diversas razones.

La mayoría de los sandboxes funcionan como máquinas virtuales que intentan imitar a máquinas legítimas reales. Los sandboxes eficientes tienen docenas de formas de simular que no son máquinas virtuales, pero los cibercriminales siempre buscan nuevas formas de detectarlos. En la mayoría de los casos, cuando un malware detecta que se está ejecutando en un entorno de prueba, se detiene para evitar ser detectado.

Los sandboxes pueden no ser útiles para el malware que apunta a entornos particulares. Por ejemplo, un sandbox que solo ejecuta archivos en un sistema operativo Windows 8.1 puede no mostrar el mismo comportamiento de archivo que se ejecuta en un sistema operativo Windows 10. Además, algunos malware pueden verificar el idioma del sistema operativo y ejecutarse solo en idiomas específicos. Es por eso que algunos sandboxes ofrecen la posibilidad de ejecutar archivos en varios sistemas operativos con diferentes configuraciones.

Enseñanza y Aprendizaje con Microsoft: Herramientas y Lecciones para Profesores de todos los Niveles

Veamos dos sandboxes con excelente reputación: ANY.RUN y Joe Sandbox.

¿Qué es el sandbox ANY.RUN?

Qué es un sandbox y por qué necesitas uno para el análisis de malware - Software | Imagen 2 Newsmatic

El sandbox ANY.RUN permite el análisis de envíos públicos. De esta manera, un analista puede buscar cualquier indicador conocido de compromiso (IOC) y malware en la base de datos para ver si ya ha sido analizado públicamente y obtener los resultados. La base de datos de malware es enorme y se actualiza diariamente.

Qué es un sandbox y por qué necesitas uno para el análisis de malware - Software | Imagen 3 Newsmatic

ANY.RUN permite a los usuarios de la versión gratuita enviar archivos o URLs a una máquina virtual de Windows 7 de 32 bits, mientras que la versión de pago les permite enviar archivos a Windows Vista, Windows 8 y Windows 10.

La mayor funcionalidad de ANY.RUN radica en la posibilidad de interactuar en tiempo real con el entorno virtual que ejecuta el archivo o URL sospechoso. Una vez enviado un archivo, el usuario puede interactuar con todo el entorno durante 60 segundos (o más en planes de pago). Esta es una característica increíble al analizar malware que espera que se realicen acciones específicas por parte del usuario antes de ejecutar cualquier carga útil. Imagina un malware que espera silenciosamente a que el usuario inicie una aplicación específica (por ejemplo, un navegador) o que espere a que el usuario haga clic en un cuadro de diálogo. Ahí es donde este sandbox se vuelve realmente útil y poderoso.

Guía de Examen de Certificación Lotus Notes: Desarrollo de Aplicaciones y Administración del Sistema

Qué es un sandbox y por qué necesitas uno para el análisis de malware - Software | Imagen 4 Newsmatic

¿Qué es Joe Sandbox?

Qué es un sandbox y por qué necesitas uno para el análisis de malware - Software | Imagen 5 Newsmatic

Joe Sandbox también permite al usuario analizar millones de resultados públicos del sandbox.

La versión gratuita de Joe Sandbox permite a los usuarios enviar archivos, navegar por una URL, descargar y ejecutar un archivo o enviar una línea de comandos. Funciona para sistemas operativos Windows, MacOS, Android, Linux e iOS, lo que lo convierte en una solución completa para clientes con una gran variedad de sistemas operativos en su infraestructura informática.

Qué es un sandbox y por qué necesitas uno para el análisis de malware - Software | Imagen 6 Newsmatic

En la versión gratuita, solo se pueden acceder a sistemas operativos Windows en una máquina virtual de Windows 7 de 64 bits y una máquina física de Windows 10 de 64 bits. Otros sistemas están disponibles en el servicio Cloud Pro. No muchos sandboxes ofrecen la posibilidad de ejecutar archivos en un sistema físico real, lo cual es una de las características más destacadas de Joe Sandbox.

Cómo gestionar eficazmente grandes volúmenes de correo electrónico

ANY.RUN vs. Joe Sandbox: Funcionalidades comunes

Ambos sandboxes solo permiten que los envíos sean privados y, por lo tanto, no estén disponibles para otros usuarios, en sus versiones de pago. Además, ambos sandboxes muestran de manera excelente todos los comportamientos de los archivos lanzados. Todas las actividades posteriores a la ejecución del archivo sospechoso se registran y se exponen: accesos a archivos, accesos al registro de Windows, comunicaciones de red.

Además, ambos sandboxes cuentan con firmas y reglas que facilitan y agilizan el análisis preliminar de los archivos.

La matriz MITRE Att&ck está incluida en ambos sandboxes, lo que facilita la comparación de diferentes muestras de malware en función de sus tácticas y permite obtener un conocimiento más rápido de la amenaza.

ANY.RUN vs. Joe Sandbox: ¿Qué sandbox de análisis de malware deberías elegir?

De las dos soluciones, Joe Sandbox es la opción ideal si necesitas verificar archivos para múltiples sistemas operativos y dispositivos diferentes, mientras que ANY.RUN solo cubre sistemas Windows. Joe Sandbox también ofrece la posibilidad de utilizar máquinas físicas reales además de máquinas virtuales, lo cual es una característica excelente cuando se trata de malware evasivo que prueba su entorno para asegurarse de que no se estén ejecutando en un sandbox.

Sin embargo, el sandbox ANY.RUN es una buena elección si necesitas interacciones en tiempo real con el entorno en el que se ejecutan los archivos sospechosos. Esta es una función invaluable para analizar amenazas que requieren hacer clic o interactuar con el usuario antes de lanzar su carga útil.

Aunque ambos sandboxes ofrecen posibilidades de API REST en planes de pago, Joe Sandbox también cuenta con planes locales y un dispositivo, lo cual puede ser apreciado por las empresas que desean una privacidad extrema.

Integración de StarOffice: calendarios

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Software, allí encontraras muchos artículos similares a Qué es un sandbox y por qué necesitas uno para el análisis de malware , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.