¿Qué es un sandbox en ciberseguridad?

Imagen de kjpargeter en Freepik

El término sandbox quiere decir campo de pruebas. Con esta definición es fácil imaginarse que es un termino recurrente en diferentes ámbitos, como por ejemplo en los videojuegos.

En el mundo de la ciberseguridad, sandbox también es empleado y en esta entrada veremos lo que es y sus funciones, además de una demostración de sandbox gratuita que cualquiera puede utilizar.

Qué es un sandbox

Los sandbox en ciberseguidad son máquinas virtuales que funcionan como entornos aislados para realizar pruebas y determinar si el software que se analiza es seguro de ejecutar en máquinas de producción.

Los analistas de ciberseguridad suelen hacer uso de sandbox para ejecutar códigos y abrir URL sospechosas, como podría ser el caso de archivos adjuntos y URLs provenientes de un correo que se esté investigando como posible phising.

Los sandbox también permiten ver el árbol de procesos en tiempo real y los usos de memoria de los programas con que se interactúa dentro de la máquina virtual. En resumen, permiten hacer un seguimiento completo del comportamiento del software mientras se interactúa con él.

Funciones

Los sandbox tienen diferentes finalidades según se empleen para seguridad informática o desarrollo:

Desarrollo

Para el desarrollo de software, los sandbox se componen de dos partes: El servidor de desarrollo y el servidor de ensayo. El servidor de desarrollo esta completamente apartado de las máquinas de producción y se usa para cargar el código en primera instancia.

Una vez el nuevo software desarrollado es funcional con resultados satisfactorios en un entorno completamente aislado se pasa al servidor de ensayo, que es una réplica del entorno de producción para verificar que es compatible y no daña los procesos ya existentes.

Cuando el software es aprobado en ambos servidores ya está listo para ser implementado en producción.

Ciberseguridad

Un entorno controlado en ciberseguridad es mucho más estricto que para desarrollo. Si bien en los sandbox de desarrollo se permiten conexiones de red con el entorno de producción en ocasiones en las que se necesite, para los de ciberseguridad no debe existir ningún tipo de contacto con producción. Esto se debe a que algunos malwares están diseñados para propagarse e infectar redes enteras.

Cómo usar un sandbox

Si se requiere de un sandbox para desarrollo, debería bastar con crear una máquina virtual, VirtualBox o Vmware son los programas de virtualización más comunes.

Ahora, para el análisis de posible malware, el sandbox más famoso en Internet es AppAnyRun, aunque también cabe destacar el programa para Windows sandboxie o soluciones empresariales como puede ser GoGuardian. AppAnyRun cuenta con planes de pago que van desde los 89$ al mes hasta servicios completamente personalizados para empresas, pero también se puede usar de manera gratuita registrando una cuenta con un email de empresa (no permite registrar correos con dominio gmail, hotmail, etc).

Las limitaciones del plan gratuito son:

  • Windows 7 de 32 bits como única opción de SO
  • 5 minutos máximo por cada URL/ hash que se investigue
  • Todas las investigaciones serán públicas y cualquiera tendrá acceso al resultado de la investigación.

Con relación al último punto, podemos acceder las investigaciones de otra gente en el botón «Public tasks», lo cual convierte a AppAnyRun en una base de datos de hashes al estilo VirusTotal.

Ahora vamos con las pruebas de fuego real, para ello vamos a iniciar una nueva tarea en la que cargaremos un archivo que contiene el ransomware wannacry. Elegimos el archivo a analizar y, al estar utilizando el plan gratuito, sólo podremos probarlo en un Windows 7 de 32 bits.

Podemos diferenciar 3 secciones. La primera de todas es la máquina virtual donde interactuaremos con el programa como haríamos en nuestro ordenador, a su derecha existen unos iconos que nos permitirá ver la pantalla completa para trabajar más cómodamente.

A la derecha tenemos un contador de 1 minuto, el cual podemos clickar hasta 4 veces para añadir un total de 5 minutos a la prueba. También tenemos el uso de CPU y RAM en tiempo real junto con el árbol de procesos que se están ejecutando.

Por último está la sección de abajo a la izquierda, donde se puede consultar las conexiones de red y peticiones HTTP que está realizando el software junto con la lista de archivos que modifique.

Al finalizar el ejercicio obtenemos la siguiente información. En el panel de abajo vemos que se han realizado más de 1000 modificaciones de archivos, y en el apartado network, se han realizado conexiones con 3 IPs externas.

A la derecha tenemos la gráfica de uso de CPU y RAM a lo largo del tiempo del ejercicio y el árbol de procesos completo, donde podremos hacer click en cualquiera para ver más información. Por ejemplo, esta es la información extraída del primer proceso, el exe de wannacry.

Haciendo click en «More info» veremos toda la información posible en torno al proceso.

Para finalizar, en la parte superior del apartado de la derecha tenemos varias opciones para ayudar a los investigadores a realizar reportes y extraer gráficos y otros tipos de métricas sobre el software analizado.

Con este pequeño tutorial de cómo funciona AppAnyRun podemos entender de primera mano cómo funciona un sandbox y la extensa cantidad de utilidades que tiene para diseccionar el software y analizarlo.


«
»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *