¿Sabes qué es un sandboxing?

¿Sabes qué es un sandboxing?

Siguiendo su definición oficial, “sandboxing es una estrategia de gestión de software que aísla las aplicaciones de recursos del sistema crítico y otros programas. El sandboxing ayuda a reducir el impacto que cualquier programa o aplicación individual tendrá en tu sistema.” Dicho en otras palabras, un sandboxing en ciberseguridad es un entorno físico o virtual utilizado como recurso para testear el software y su seguridad siendo clasificado como “seguro” o “inseguro” después de la prueba. Los programas ejecutivos en el entorno aislado (físico o virtual) se denominan sandboxing y el medio ambiente de las muestras se denominan sandboxes. Basándose en un comportamiento observado, las muestras pueden ser clasificadas como inofensivas, maliciosas o si “necesita una información más detallada”. En muchos casos, se permite un algoritmo de aprendizaje automático (ML) u otro tipo de Inteligencia Artificial (AI) para clasificar la muestra.

Los sandboxes proporcionan ambientes ideales y aislados para controlar ciertos tipos de malware sin darle a ese malware la oportunidad de propagarse. Pero a medida que los sandboxes se convirtieron en más sofisticados y evolucionaron para derrotar las técnicas de evasión, se han detectado múltiples cepas de malware teniéndose que cambiar sus tácticas para seguir adelante.

Entonces, ¿cómo detectar el malware que evadió el sandboxing?

Aquí hay algunos principios que puedes implementar para proteger del malware que evadió el sandbox.

1. Cambia dinámicamente el ciclo de sueño o hibernación

Mientras que un sandbox suele analizar el malware durante segundos, la ampliación del tiempo de análisis aumenta significativamente las posibilidades de detectar dicho malware. Sin embargo, este enfoque puede no ser eficaz, ya que requiere más tiempo. En lugar de eso, haz que el sandbox cambie dinámicamente su tiempo para engañar al malware y estimular su ejecución.

2. Simula interacciones humanas.

El ambiente del sandbox no simula interacciones por defecto, pero sí puede añadir algunas interacciones similares al usuario para analizar mejor el malware. Sin embargo, ten en cuenta que el malware moderno puede ser lo suficientemente inteligente como para detectar clics o movimientos falsos del ratón.

3. Añade artefactos ambientales y hardware reales.

Recupera información del hardware en su sandbox, eso te ayudará a detectar el malware que compruebe el tamaño del disco duro, archivos recientes, números de CPU, versión del sistema operativo, volumen de memoria, y otras características del sistema y hardware.

4. Realizar análisis estático además del análisis dinámico

La tecnología de sandboxing es una forma de análisis dinámico de malware, ya que examina el comportamiento de malware en un entorno seguro. Aunque el malware que evadió el sandbox no realiza ninguna acción, puedes someterlo a un análisis completo de código estático. El análisis estático comprobará el archivo de técnicas de evasión o piezas de código codificadas.

5. Usa análisis de huella digital.

La tecnología de huella digital permitirá analizar un archivo de malware y encontrar los indicadores de código malicioso. La huella digital también puede usarse para detectar las características de evasión del malware.

6. Usa análisis basado en el comportamiento.

El análisis basado en comportamiento ofrece características diseñadas para detectar y combatir las técnicas de evasión. Durante este análisis, el sandbox interactúa con el propio malware para encontrar posibles vías de ejecución. Además, emulan interacciones de proceso para parecer un ordenador anfitrión. Una vez que se detecte una técnica de evasión, el sandbox contrarresta su código malicioso.

7. Personaliza tu sandboxing.

Al añadir otras innovadoras características para la detección de malware al sandbox, podrás mejorar significativamente su efectividad al detectar el malware. Por ejemplo, puedes usar una matriz multi-sandbox de distintos entornos y análisis reiterativo. También será efectivo verificar las comunicaciones de malware más allá del sistema API de la máquina. Además, también podrás añadir una característica a tu sandbox que busque y verifique rastros de código malicioso en un tiempo de ejecución.

8. Añade análisis del núcleo.

Mientras que la mayoría de las soluciones de sandbox operan en modo usuario, algunos tipos de malware están diseñados para inyectar códigos maliciosos en el espacio del núcleo (rootkits o conductores) y así escapar del sandbox. De esa manera, añadiendo análisis del núcleo a tu solución, podrás evitar que el malware se mueva al núcleo.

9. Implementa el aprendizaje automático.

El análisis de malware basado en algoritmos de aprendizaje automático puede detectar efectivamente técnicas de evasión del sandbox en código de malware antes de que se ejecute. Además, podrás recoger millones de otras señales que colectivamente pueden detectar código malicioso.

10. Considera el desarme y la reconstrucción del contenido (CDR) como una capa de seguridad adicional.

Los CDR a menudo son considerados lo contrario del sandbox, pero puede servir como un añadido a otras soluciones de seguridad. Esta tecnología elimina todo el contenido activo de un archivo y proporciona a un usuario un documento desinfectado.

Gracias a la combinación de estas herramientas que forman parte de la solución redborder se obtiene un análisis más amplio con el fin de combatir amenazas complejas y ataques de nivel de APT, proporcionando mayor protección contra amenazas avanzadas.

Share this post

¡Conoce nuestra solución de ciberseguridad!


Redborder es una solución Big Data basada en tecnologías Open Source para la visibilidad de red,
el análisis de datos y la ciberseguridad completamente escalable según las necesidades de la infraestructura de red de cada compañía
o Provedor de servicios

Solución NDR

Escalable y modular

On premise or cloud

Desktop, Ios/ Android