¿Cómo usar Polyswarm?

¿Sabes cómo usar Polyswarm para analizar muestras de malware? ¿Y qué tipos de malware podemos analizar allí? Los ataques con malware son una de las principales amenazas para la ciberseguridad de cualquier sistema. Los softwares maliciosos actuales cuentan con características avanzadas, complejas y también personalizadas que podrían evadir los esquemas de defensa tradicionales.

Por eso, en el campo de la seguridad informática, es importante utilizar herramientas para el análisis de malware, con el fin de entender cómo funcionan estos programas para saber cómo detenerlos. Existen programas de código abierto que puedes descargar e instalar en tu equipo o máquina virtual para realizar análisis de malware. Sin embargo, también hay herramientas en internet que permiten hacer algunos análisis.

Hay múltiples aplicaciones web gratis y de pago para el análisis de malware que un investigador puede utilizar para probar ficheros sospechosos antes de descargarlos o abrirlos. En este post, hablaremos sobre una herramienta web que puedes añadir a tu arsenal de análisis, pues te enseñaremos cómo usar Polyswarm y en qué se diferencia de otras aplicaciones similares.

¿Cómo usar Polyswarm?

Polyswarm es una aplicación web para el análisis de malware que se caracteriza por utilizar herramientas y motores antimalware desarrollados de forma descentralizada, bajo un modelo de crowdsource. Por ejemplo, si eres un desarrollador de software especializado en ciberseguridad, puedes subir tus propios motores de detección y análisis de malware a esta plataforma.

Polyswarm cuenta con una versión gratuita y, para acceder a ella, solo debes registrarte en la página. Para acceder a la versión de pago, debes suscribirte y escoger uno de sus planes. Con esta última, podrás usar más motores de análisis especializados en detectar amenazas de día cero.

Esta versión cuenta con herramientas de análisis y motores de antivirus como:

• AIMA – Malwation.
• Alibaba.
• BlueHexagon.
• CrowdStrike Falcon Sandbox.
• Cyradar.
• Docker Rootkit.
• Kapersky Arbiter.
• Notmining.
• URLhaus.
• URLScan.io.
• Virusdie.
• XVirus.
• Zillya.

La ventaja de algunos de estos motores antimalware es que, gracias al modelo crowdsource, son menos detectados por los sistemas de evasión de los malwares. Además, se especializan en variantes de malware peligrosas, como ciberataques de día cero o amenazas persistentes avanzadas.

Paso a paso

Para aprender cómo usar Polyswarm, ten en cuenta que puedes utilizar la versión gratuita y complementarla con otras aplicaciones de código libre para mayor certeza en el análisis. Sin embargo, si las condiciones de tu compañía u organización lo ameritan, también puedes comprar Polyswarm con PayPal, tarjeta de crédito o transferencia bancaria, al igual que otras aplicaciones web de análisis especializado de malware.

En todo caso, los pasos para usar Polyswarm son:

1. Regístrate o suscríbete en la plataforma web, según los requerimientos de tus tareas de análisis. Recuerda que, para acceder a las funciones gratuitas de Polyswarm, debes ser un usuario registrado.
2. Arrastra cualquier archivo, programa, dirección IP/URL o función hash sospechosa al buscador del panel de la plataforma.
3. Obtén información sobre:
   1. Puntuación de amenazas contextualizado y potenciado por el motor PolyScore, que sirve para determinar el peligro de un malware teniendo en cuenta las puntuaciones de otras plataformas. Esta función permite obtener una puntuación acertada para el nivel de la amenaza en estudio.
   2. Toma de decisiones en tiempo real a partir de la puntuación arrojada por el motor de PolyScore, que también le ahorra tiempo a los investigadores y reduce el riesgo de escalada de incidentes.
   3. Pruebas de tráfico de red con programas de código abierto para analizar actividad maliciosa.
   4. Pruebas en entornos virtuales especializados en el análisis de comportamiento de malwares evasivos.
   5. Threat hunting o persecución de amenazas, la cual es una función exclusiva de la versión de pago que consiste en detectar peligros antes de que ingresen al sistema.

Integraciones de Polyswarm

Al aprender cómo usar Polyswarm, ten en cuenta que otra forma de utilizarlo es a través de algunas herramientas que lo tienen integrado. En particular, Polyswarm forma parte también de frameworks de threat hunting, desarrollados por proveedores de inteligencia sobre amenazas, como:

• Anomali.
• Censornet.
• Cyware.
• Silobreaker.
• Splunk>.
• ThreatConnect.
• ThreatQuotient.

Otras herramientas

Si estás aprendiendo cómo usar Polyswarm y estás utilizando su versión gratuita, es recomendable contrastar los resultados de sus informes con otras plataformas. Por eso, a continuación, encontrarás una lista con algunas herramientas alternativas para el análisis de malware:

• VirusTotal: es una herramienta desarrollada por Google que integra varios motores de antivirus y sandbox para analizar ficheros, URL y funciones hash sospechosos.
• Hybrid Analysis: es una herramienta desarrollada por CrowdStrike que sirve para probar muestras de malware o ficheros sospechosos en Falcon Sandbox, una herramienta especial para analizar amenazas evasivas o desconocidas.
• Joe Sandbox: es una aplicación web que, en su versión gratuita, permite hacer cinco análisis de malware al día y ofrece resultados altamente detallados.

¿Cómo aprender más?

Ya hemos visto cómo usar Polyswarm, para qué se utiliza en ciberseguridad y qué herramientas alternativas existen. Si quieres aprender más y convertirte en experto en seguridad informática, ingresa a nuestro Bootcamp de Ciberseguridad y especialízate en tan solo 7 meses. ¿A qué sigues esperando? ¡Inscríbete ahora!