Sandbox

Acerca de la tecnología de sandbox

Un sandbox es un sistema de detección de malware que ejecuta un objeto sospechoso en una máquina virtual (VM) con un sistema operativo con todas las funciones y detecta la actividad maliciosa del objeto mediante el análisis de su comportamiento. Si el objeto realiza acciones maliciosas en una máquina virtual, el sandbox lo detecta como malware. Las máquinas virtuales están aisladas de la infraestructura empresarial real.

Los sandboxes analizan el comportamiento de un objeto a medida que se ejecuta, lo que los hace efectivos contra el malware que escapa del análisis estático. Al mismo tiempo, en comparación con otros diseños de análisis de comportamiento, un sandbox es más seguro, ya que no corre el riesgo de ejecutar un objeto sospechoso en la infraestructura empresarial real.

Kaspersky Sandbox

Desarrollamos nuestro propio sandbox hace algunos años. En nuestra infraestructura, es una de las herramientas para el análisis de malware, investigación y creación de bases de datos antivirales. Un sandbox también es parte de Kaspersky Anti Targeted Attack Platform y de la Kaspersky Threat Intelligence Platform. Ayuda a clasificar archivos y direcciones URL como maliciosos o benignos, y proporciona información sobre su actividad útil para crear reglas y algoritmos de detección.

Funciones de sandbox

• El sandbox se basa en la virtualización de hardware, lo que lo hace rápido y estable.
• Las máquinas virtuales están disponibles para:
  • Sistema operativo Windows (todas las versiones para equipos personales a partir de Windows XP, todas las versiones de servidor a partir de Windows Server 2003).
  • Sistema operativo Android (x86, arquitectura de procesador ARM).
• El sandbox supervisa la interacción del proceso explorado con el sistema operativo. En casos sospechosos, el sandbox profundiza.
• El sandbox ofrece detección de exploits a partir de las primeras fases de explotación. Detecta el comportamiento típico de exploits, como el uso de cadena ROP, HeapSpray, giro de pila, cambios en los tokens de seguridad, cambios sospechosos de protección de memoria y otros. El sandbox es capaz de detectar incluso exploits avanzados utilizados en los ataques dirigidos.

Tipos de objetos que se pueden ejecutar

• Windows: cualquier archivo, por ejemplo: *.exe, *.dll, .NET objetos, archivos de MS Office, PDF.
• Android: APK (DEX).
• Direcciones URL: el sandbox va a una dirección URL y detecta los siguientes eventos: descargas, JavaScript, ejecución de Adobe Flash y otros.

Flujo de trabajo de detección de malware

1. El sandbox recibe una solicitud para analizar un objeto (un archivo o una dirección URL) de otro componente de solución de seguridad con instrucciones: el sistema operativo y la configuración para ejecutar el objeto, los parámetros de ejecución del objeto, otras aplicaciones de terceros instaladas en la máquina virtual, el límite de tiempo de prueba, etc.
2. Se ejecuta el objeto probado.
3. El sandbox recopila artefactos durante el período de tiempo especificado. Si el objeto interactúa con otros procesos o direcciones URL con reputaciones conocidas, el sandbox captura esto.
4. El sandbox analiza los artefactos y genera su veredicto para el sistema que lo solicita: malware o benigno. El sandbox agrega los datos del objeto al veredicto (ID, funciones, registros, detalles de comportamiento), lo que puede ayudar en un análisis adicional sin necesidad de una nueva solicitud en el sandbox.

Artefactos recopilados por el sandbox

• Registros de ejecución de aplicaciones (llamadas a funciones de la API con sus parámetros, eventos de ejecución)
• Volcados de memoria
• Volcados de módulos cargados
• Cambios en el sistema de archivos, registro
• Tráfico de red (archivos PCAP)
• Capturas de pantalla (para facilitar la auditoría y el análisis manual, en caso necesario)
• Artefactos de actividad de exploits

Prevención de la evasión

Es común que el malware de hoy en día trate de detectar y evadir un sandbox. Una vez que sabe que se está ejecutando en un sandbox, puede omitir la realización de cualquier actividad maliciosa, borrarse de los discos, finalizar por sí mismo o usar alguna otra técnica de evasión.

Un diseño más simple de la supervisión del sandbox de hardware (por ejemplo, la conexión de funciones API) dejaría rastros que indican que se está observando un proceso sospechoso. Por lo tanto, implementamos otras técnicas de supervisión que son no invasivas y no dejamos ningún rastro visible al objeto analizado. El sandbox controla la CPU y la RAM, pero no modifica el funcionamiento de procesos, la memoria, las bibliotecas del sistema en disco y en memoria, lo que no deja rastros de supervisión.

También hacemos un seguimiento de nuevas técnicas de evasión emergentes y ajustamos nuestro entorno de pruebas para contrarrestar estas nuevas técnicas:

Evasión A: el entorno de sandbox es típico de algún sandbox de marca conocido. El malware lo reconoce y evade la detección.

Contraevasión A: nuestro sandbox aleatoriza el entorno de la máquina virtual antes del inicio de esta.

Evasión B: el malware puede detectar el entorno de prueba a través de la ausencia de actividad del usuario. Para que se ejecute algún malware, el usuario debe introducir una contraseña de un correo electrónico, hacer clic en un asistente o hacer otras acciones "humanas". Muchos sandboxes no lo emulan y, por lo tanto, no ven detonar el malware.

Contraevasión B: nuestro sandbox emula las acciones del usuario: los movimientos del ratón, el desplazamiento de documentos que se abren. Nuestro sandbox también replica muchas de las acciones que los usuarios hacen para activar el malware.

Ataques revelados con Kaspersky Sandbox

Ejemplos de nuevas olas de ataques dirigidos que se descubrieron con sandboxes en productos de Kaspersky de infraestructura entre 2016 y 2017: Sofacy (oct. 2017), Zero.T (oct., nov. 2016, abr. 2017), Enfal (sep., oct., nov. 2016), Freakyshelly (oct. 2016), NetTraveller (ago. 2016), CobaltGoblin (ago. 2016), Microcin (jun. 2016) y otros.