El Sandbox de Hornetsecurity llega hasta el fondo de los ficheros maliciosos.

 

Uno de los puntos de entrada del malware sigue siendo el email. No importa si se trata de un archivo adjunto o a través de un enlace de descarga: una vez que el código malicioso se encuentre en los dispositivos locales, está claro que las medidas de seguridad han fallado. Y la carrera armamentística entre los atacantes y proveedores de seguridad informática persiste. Es por ello que Hornetsecurity continúa con el desarrollo de métodos de defensa, y uno de ellos es el Sandbox de Hornetsecurity Advanced Threat Protection (ATP), que examina a fondo los adjuntos de email y archivos sospechosos durante la reescritura de URL dentro de un ambiente controlado y aislado de otros sistemas. Para lograr un análisis preciso de los ficheros, se emplean diferentes técnicas.

 

Análisis estático

 

Antes de colocarlos en el Sandbox, se analizan los archivos en condiciones de análisis estático, sin ejecutarlos. Aquí, el sistema de reconocimiento revisa los metadatos generales del archivo, como la fecha de creación, la fecha de modificación y el autor. Además, se realiza un análisis de las macros de archivos de Office y código de JavaScript en ficheros PDF. Se escanean cada una de las secciones de un Portable Executable -en archivos ejecutables de Windows- para detectar contenidos críticos. Durante este proceso, el sistema recoge información acerca de las bibliotecas utilizadas, por ejemplo, para identificar si el archivo se comunica con Internet. Además, se analizan los caracteres de salida legibles. De esta manera, por ejemplo, pueden detectarse visitas a sitios web sospechosos incluso antes de que se ejecute el archivo. El análisis estático también incluye la revisión del valor hash del archivo a través de una variedad de programas antivirus.

 

Durante el análisis estático, un algoritmo “diseca”, en sentido literal, al archivo, con el fin de descubrir la mayor cantidad de información posible, y usarla como base para el desarrollo de la firma del virus. Estas firmas se utilizan para identificar a cada virus según sus patrones específicos.

 

La siguiente captura de pantalla muestra el código de un macro de Office durante el análisis estático.

 

 

 

El análisis del Sandbox

 

El análisis dinámico de los archivos se lleva a cabo en un Sandbox. En este punto, el motor de Sandbox analiza todos cambios en el sistema mientras el archivo se ejecuta. Este documenta el comportamiento de los procesos de sistema, las llamadas y cambios en el registro, y luego analiza todo esto en búsqueda de actividades anormales (captura de pantalla 2). Además, se registra todo el tráfico de red del sistema para detectar conexiones sospechosas. Si el archivo intenta comunicarse con un servidor de comando y control y carga aún más código malicioso, el Sandbox intercepta este proceso y quita el malware. Durante la ejecución del archivo, el sistema automáticamente toma capturas de pantalla de todas las llamadas.

 

Luego de haber completado el análisis dinámico, se restablece a su estado previo el entorno virtual de Sandbox que se usó para ejecutar el archivo. De esta forma, en caso de infección, puede limpiarse el sistema de cualquier rastro de malware.

 

 

Con base en todos los análisis disponibles, el Sandbox evalúa el riesgo potencial del archivo. Esto da como resultado un valor de entre 0 y 10.

 

El nuevo reporte de ATP

 

Con la actualización del Sandbox a la versión 2.0, ATP-Report ha sido revisado a fondo. Aquí, los usuarios de ATP podrán conseguir información detallada sobre el archivo analizado.

 

El resumen recoge los principales puntos de análisis. Además del análisis de riesgo del archivo (captura de pantalla 3), el informe muestra las firmas de virus correspondientes y las divide según el nivel de amenaza en tres categorías: atención, advertencia y peligro (captura de pantalla 4). También enumera las capturas de pantalla generadas durante el análisis del Sandbox (captura de pantalla 5).

 

 

 

 

Los otros menús del reporte de ATP muestran los resultados del análisis detallado.

 

Análisis del Sandbox de ATP con nueva apariencia

 

Análisis del Sandbox de ATP con nueva apariencia
Además de la revisión del reporte de ATP, la última actualización trae muchas mejoras al Sandbox. Entre otras cosas, es capaz de analizar completamente todas las aplicaciones de 64 bit. Además, los especialistas de Hornetsecurity revisaron el sistema de evaluación y llevaron a cabo actualizaciones con nuevas firmas y comportamientos de virus. También agregaron análisis estático a través de mejoras al motor de análisis de código JavaScript en archivos PDF, junto con importantes mejoras en la infraestructura y los sistemas de Sandbox, para aumentar considerablemente el rendimiento y la capacidad de análisis.

 

Desarrollo continuo

 

El laboratorio de seguridad de Hornetsecurity trabaja constantemente en la mejora del Sandbox, de modo que sea capaz de detectar las amenazas más recientes y sofisticadas. Para poder responder a ataques nuevos en cualquier momento, se añaden nuevas firmas de virus, y se mejoran las existentes. Asimismo, pueden emplearse fragmentos de comportamiento general y tráfico de red para obtener reglas generales que ayuden a detectar nuevos tipos de Malware.

 

Así es como funciona Advanced Threat Protection de Hornetsecurity en detalle: