{"id":28871,"date":"2023-06-07T10:41:40","date_gmt":"2023-06-07T08:41:40","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28871"},"modified":"2023-06-08T10:42:50","modified_gmt":"2023-06-08T08:42:50","slug":"sandbox-working-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/sandbox-working-environment\/28871\/","title":{"rendered":"Todo por el sandbox"},"content":{"rendered":"<p>El sandbox es una de las herramientas m\u00e1s eficaces para analizar objetos sospechosos y detectar comportamiento malicioso. Por ello, se est\u00e1 implementando esta tecnolog\u00eda en una amplia gama de soluciones de seguridad. Pero la precisi\u00f3n de la detecci\u00f3n de amenazas depende directamente de la forma en la que el sandbox emula el entorno en el cual se est\u00e1n ejecutando los objetos.<\/p>\n<h2>Qu\u00e9 es un sandbox y c\u00f3mo funciona<\/h2>\n<p>Un sandbox es una herramienta que crea un entorno aislado en el cual se pueden analizar los procesos sospechosos. Normalmente se utiliza una m\u00e1quina virtual o contenedor, que permite al analista examinar los objetos potencialmente peligrosos sin el riesgo de infectar o da\u00f1ar un entorno corporativo real ni filtrar datos corporativos importantes.<\/p>\n<p>Por ejemplo, el sandbox en la plataforma Kaspersky Anti Targeted Attack (KATA) funciona de la siguiente forma: si alg\u00fan componente en la soluci\u00f3n de seguridad detecta un objeto peligroso o sospechoso (por ejemplo, un archivo o URL), este se env\u00eda al sandbox para su an\u00e1lisis, junto con la informaci\u00f3n del entorno corporativo (versi\u00f3n del sistema operativo, listado de programas instalados, ajustes del sistema, etc.). El sandbox ejecuta el objeto o navega por la URL, registrando todos los artefactos:<\/p>\n<ul>\n<li>Registros de ejecuci\u00f3n, incluidas las llamadas a la API del sistema, las operaciones de archivos, la actividad de la red, las URL y los procesos a los que accede el objeto.<\/li>\n<li>Instant\u00e1neas de memoria y sistema (volcados).<\/li>\n<li>Objetos creados (descomprimidos o descargados).<\/li>\n<li>Tr\u00e1fico de red.<\/li>\n<\/ul>\n<p>Despu\u00e9s de la prueba del escenario, se analizan los artefactos recopilados y se escanean en busca de actividad maliciosa. Si se encontrara, el objeto se etiqueta como malicioso y las t\u00e9cnicas, t\u00e1cticas y procedimientos identificados se asignan a la matriz <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mitre-attack\/\" target=\"_blank\" rel=\"nofollow noopener\">MITRE ATT&amp;CK<\/a>.<\/p>\n<h2>Los desaf\u00edos del sandbox<\/h2>\n<p>El principal problema de los sandbox es que los ciberdelincuentes saben de su existencia, por lo que trabajan constantemente para mejorar sus mecanismos de evasi\u00f3n. Para ello, los atacantes se centran en desarrollar tecnolog\u00edas que detecten funciones espec\u00edficas del sandbox o comportamiento antinatural del usuario virtual. Tras la detecci\u00f3n, o incluso simplemente sospecha, de estos signos de alerta, el programa malicioso altera su comportamiento o se autodestruye.<\/p>\n<p>En el caso del malware utilizado para los ataques dirigidos, los ciberdelincuentes analizan meticulosamente la configuraci\u00f3n del sistema operativo y el conjunto de programas utilizados en el equipo atacado. La actividad maliciosa se pone en marcha \u00fanicamente cuando el software y el sistema cumplen por completo con las expectativas de los atacantes. El malware puede funcionar en intervalos de tiempo estrictamente definidos o activarse despu\u00e9s de cierta secuencia de acciones por parte del usuario.<\/p>\n<h2>C\u00f3mo conseguir un entorno artificial m\u00e1s aut\u00e9ntico<\/h2>\n<p>Para enga\u00f1ar a una posible amenaza y hacerla sentir como en un entorno seguro, se implementa la combinaci\u00f3n de diferentes estrategias:<\/p>\n<ul>\n<li>Entornos virtuales variables y aleatorios: se crean m\u00faltiples sandbox con diferentes combinaciones de ajustes y software instalado.<\/li>\n<li>Simulaci\u00f3n realista del comportamiento del usuario, incluida la velocidad a la hora de escribir contrase\u00f1as, ver texto, mover el cursor o hacer clic con el rat\u00f3n.<\/li>\n<li>Uso de una m\u00e1quina f\u00edsica aislada (no virtual) del entorno de trabajo para analizar los objetos sospechosos relacionados con ataques de hardware y controladores de dispositivos.<\/li>\n<li>Combinaci\u00f3n de an\u00e1lisis est\u00e1tico y din\u00e1mico; monitorizaci\u00f3n del comportamiento del sistema en ciertos intervalos de tiempo; uso de tecnolog\u00edas de aceleraci\u00f3n de tiempo en m\u00e1quinas virtuales.<\/li>\n<li>Uso de im\u00e1genes de estaciones de trabajo reales en el entorno de destino, incluido el sistema operativo y la configuraci\u00f3n de programas, complementos y configuraciones de seguridad.<\/li>\n<\/ul>\n<p>Nuestro <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/sandbox\" target=\"_blank\" rel=\"nofollow noopener\">sandbox<\/a> implementa todas estas t\u00e9cnicas: puede emular el comportamiento de un usuario real, implementar entornos aleatorios y operar en modo manual o autom\u00e1tico. Pero, adem\u00e1s, recientemente actualizamos nuestra soluci\u00f3n extendida de detecci\u00f3n y respuesta: la plataforma Kaspersky Anti Targeted Attack, cuyo sandbox integrado ahora te permite usar im\u00e1genes de sistema personalizadas pudiendo elegir el sistema operativo (de la lista de compatibles) e instalar programas de terceros. Para m\u00e1s informaci\u00f3n sobre la plataforma, puedes visitar su <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/anti-targeted-attack-platform?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">p\u00e1gina dedicada<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La eficacia de un sandbox depende plenamente de su habilidad para imitar con exactitud el ambiente de trabajo.<\/p>\n","protected":false},"author":2725,"featured_media":28872,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2019],"tags":[378,3201,227,3561,61,612],"class_list":{"0":"post-28871","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-technology","10":"tag-amenazas","11":"tag-analisis-de-amenazas","12":"tag-sandbox","13":"tag-sandboxing","14":"tag-seguridad","15":"tag-tecnologia"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sandbox-working-environment\/28871\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sandbox-working-environment\/25704\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sandbox-working-environment\/21124\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sandbox-working-environment\/28392\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sandbox-working-environment\/26003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sandbox-working-environment\/26384\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sandbox-working-environment\/35580\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sandbox-working-environment\/48272\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sandbox-working-environment\/20665\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sandbox-working-environment\/21351\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sandbox-working-environment\/30193\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sandbox-working-environment\/26426\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sandbox-working-environment\/32014\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sandbox-working-environment\/31700\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/analisis-de-amenazas\/","name":"an\u00e1lisis de amenazas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28871"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28871\/revisions"}],"predecessor-version":[{"id":28874,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28871\/revisions\/28874"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28872"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}