Sandbox, Que son y que hacen?

Voy a empezar este primer tema con algo diferente a lo habitual que se hace en este tipo de blogs, ya que cuando uno dice que va hablar de malware lo primero que hace es hablar sobre los registros tipo EAX,EBX o sobre la stack y como funciona, pues no! Para eso ya hay muchos blogs que lo explican, no digo que lo acabe explicando porque haga falta para un post y quede mas claro, pero no empezare con algo tan manido, voy habar de sandbox que hacen y para que sirven, un tema muy interesante para el que le guste el análisis de malware y saber que hacen cuando los ejecutas.


Ahora vamos ha centrarnos en lo que es una sandbox sin extenderme demasiado. Que es y para que sirve? Básicamente como su nombre dice es una caja donde se puede ejecutar malware para realizar una análisis dinámico o sea ejecutando el malware para ver que hace(conexiones, entradas de registro que crea, librerías que usa y un largo etc..), con esto evitas destruir tu maquina, ya que una sandbox es un entorno controlado donde puedes ejecutar cualquier tipo de malware sin correr peligro que se extiende por tu red. Muchos profesionales usan sandbox para intentar ver que como actúa el bicho en questión, por eso hoy en dia los creadores de malware se han vuelto mas sofisticados y el malware ahora antes de ejecutarse analiza su entorno y si descubre trazas comunes de una sandbox o lo que viene ha ser una maquina virtual, se acaba la ejecución y en muchos casos se autodestruye, eso dificulta el análisis, pero hay maneras de engañar al malware, pero de eso ya hablaremos en otra ocasión.

Hasta aquí lo que es una sandbox, ahora vamos ha centrarnos en una en concreto y una de las que goza de mas fama entre los aficionados al malware y profesionales que se dedican a esto y es Cuckoo, es una herramienta de código abierto y programada en Python.

Interface web de Cuckoo

Como podéis ver arriba este el aspecto que tiene cuckoo al llamarlo desde el navegador aunque tiene su versión comandos desde el shell. Cuckoo se apoya en un sistema de maquinas virtuales VirtualBox, VmWare, QEmu, con un sistema Windows por el lado del cliente y normalmente en Linux por la parte del servidor, aunque se también se puede montar sobre Mac. Una imagen vale mas que mil palabras aquí tenéis una imagen de la estructura de red sacada de la propia web de Cuckoo.

Arquitectura de red de Cuckoo

Con esta fantástica herramienta se podrás analizar malware sin poner en peligro la integridad de tu sistema, mas adelante hablaremos de los análisis estáticos que son menos peligrosos y también se saca mucha información. Hasta aquí el segundo post, el próximo sera como instalar Cuckoo Sandbox, no es nada difícil pero tiene sus cosas y os contare trucos o problemas que yo me encontré y me costo solucionar ya que nadie habla de ellos muchas veces y aquí os los contare para evitar dolores de cabeza y problemas a la hora de ejecutar cuckoo por primera vez, espero que el post haya quedado minimamente claro si hay alguna duda para eso están los comentarios.

Un saludo arenoso!!!