Desarrollo de un sandbox con tecnologías open-source

Abstract

La creciente sofisticación de los ciberataques y la evolución constante de las amenazas, comienza a preocupar a las organizaciones, ya que son menos las que tienen capacidades de detección del malware, como son los de tipo ransomware. Esto crea la necesidad de una colaboración efectiva entre organizaciones y proveedores en materia de inteligencia, por lo que se requiere de la implementación de entornos seguros para el análisis de malware. De este modo, los analistas de seguridad disponen de un entorno aislado donde poder estudiar el comportamiento de las amenazas. Este documento se centra en el diseño e implementación de un sandbox open-source, que permite analizar de manera segura archivos maliciosos en entornos Windows. Utilizando tecnologías de virtualización, el sandbox proporciona el aislamiento y flexibilidad para adaptarse a las familias de malware y desarrollar distintos escenarios de análisis sin comprometer la infraestructura de la organización. Se examinan conceptos básicos y se comparan tecnologías de virtualización y contenedores, destacando las ventajas y desventajas de cada una. Además, se detallan los sandbox open-source más utilizados y se proporcionan guías prácticas para la instalación, configuración y uso del entorno, permitiendo a los analistas de seguridad identificar indicadores de compromiso y mejorar la respuesta ante ciberincidentes.

The increasing sophistication of cyber-attacks and the constant evolution of threats is starting to worry organizations, due to fewer malware detection capabilities, such as ransomware. This creates the need for effective collaboration between organizations and vendors on intelligence, thus requiring the implementation of secure environments for malware analysis. This provides security analysts with an isolated environment in which to study threat behavior. This paper focuses on the design and implementation of an opensource sandbox, which allows to safely analyze malicious files in Windows environments. Using virtualization technologies, the sandbox provides the isolation and flexibility to adapt to malware families and develop different analysis scenarios without compromising the organization’s infrastructure. Basic concepts are examined and virtualization and container technologies are compared, highlighting the advantages and disadvantages of each. In addition, the most commonly used open-source sandboxes are detailed and practical guidelines for installation, configuration and use of the environment are provided, enabling security analysts to identify indicators of compromise and improve cyber incident response.