¿Cómo crear una sandbox?

¿Sabes cómo crear una sandbox correctamente para ejecutar análisis dinámicos de malware en ciberseguridad? Los malwares de la actualidad cuentan con funciones avanzadas que van mucho más allá de sus tareas perjudiciales para los sistemas. Además de eso, los malwares modernos son capaces de detectar, evitar y hasta eliminar los esquemas tradicionales de seguridad informática.

El análisis dinámico de malware es una de las actividades más importantes en ciberseguridad, ya que consiste en ejecutar el programa malicioso en un entorno virtual diseñado especialmente para ello. Estos entornos virtuales, cuando se utilizan con este fin, se denominan sandbox o cajas de arena.

Las máquinas u ordenadores virtuales tienen muchas funciones en el mundo de la programación. No obstante, cuando se trata de análisis de malware, se utiliza el término de cajas de arenas, que se usan específicamente en el campo de la ciberseguridad. A continuación, te explicaremos cómo crear una sandbox o caja de arena correctamente y qué elementos debes tener en cuenta para ello.

¿Cómo crear una sandbox?

Programas de máquinas virtuales

Lo primero que necesitarás para crear una sandbox es conocer los diferentes programas que se utilizan con este fin. Para ello, te recomendamos que explores con herramientas como:

• VirtualBox.
• VMware.
• KVM.

Tendrás que encontrar la combinación que más se ajuste a ti. Es común y recomendable crear tu sandbox dentro de un entorno virtual para contar con una doble capa de protección contra infecciones. Por lo tanto, se recomienda, por ejemplo, crear una máquina virtual en VirtualBox o VMware y crear allí dentro la sandbox con KVM.

Evitar métodos de evasión de sandbox

El segundo paso para saber cómo crear una sandbox es preparar el entorno virtual de prueba, de tal modo que jamás le revele al malware que está siendo ejecutado en una caja de arena.

Como mencionábamos en la introducción, los malwares actuales pueden detectar y defenderse de aquellos sistemas para estudiarlos y detectarlos. Por ese motivo, muchos de ellos llevan funciones en sus scripts para reconocer características típicas de un entorno virtual.

Para evitar estos métodos de evasión de sandbox, revisa:

1. Que ningún fichero, aplicación, directorio, driver o dato del sistema de la máquina virtual contenga datos evidentes o característicos de la sandbox (por ejemplo, que el nombre de la pantalla de inicio sea sandbox).
2. Ejecuta un análisis con el programa Pafish, que es una herramienta de código abierto que imita el comportamiento de un malware para detectar entornos virtuales. Esta herramienta te dirá qué elementos corregir en tu sandbox.
3. Revisa que todos los procesos del sistema se vean normales (que sean mínimo más de treinta).

Automatizar el análisis dinámico

El último paso de cómo crear una sandbox es utilizar una herramienta para automatizar el análisis dinámico del malware. Automatizar este tipo de análisis es útil, ya que nos permite contar con un informe detallado sobre los comportamientos del virus en la máquina. Para ello, puedes utilizar herramientas como Cuckoo o CAPE Sandbox.

Cuckoo y CAPE Sandbox son frameworks de código abierto u open source que te permiten hacer pruebas automáticas con las sandbox que hayas creado. Para ello, debes descargar, instalar la herramienta y conectarla con los entornos virtuales de prueba que has creado en los pasos anteriores. Ambos frameworks cuentan con interfaces web que facilitan subir los programas para analizar, ver y descargar los informes sobre su comportamiento.

Si quieres llevar tus conocimientos más allá y aprender cómo crear una sandbox con la guía de un profesional, únete a nuestro Ciberseguridad Full Stack Bootcamp. Podrás especializarte en menos de 7 meses y convertirte en un experto dentro del sector IT. ¡Inscríbete ahora y dale un giro a tu vida laboral!