Análisis de malware en sandboxes online

Actualmente existen diversos servicios online gratuitos capaces de analizar malware de forma automática en un entorno virtual y cerrado de tipo sandbox. En lugar de intentar analizar y revertir el código del malware para ver lo que hace, simplemente lo ejecutan en un SO Windows virtual y trazan su comportamiento: monitorizan el tráfico de red que genera el malware, las DLLs que son cargadas, los cambios realizados en el registro e incluso qué está ocurriendo en el sistema de ficheros:

Anubis
Comodo Instant Malware Analisys
CWSandbox (y la instancia en Sunbelt Software)
EUREKA!

Joebox
Norman SandBox
ThreatExpert
Wepawet ť Home
Xandora

Para ver un poco más en detalle cómo funcionan estos servicios, buscamos un ‘espécimen’ en la red para analizarlo. Para ello, consultamos webs como Malware Domain List o Fighting Malware y descargamos un troyano ZBot (load.exe) que intentan 'colarnos' a través de un exploit de un antiguo 0-day para IE, incluido en el pack de Eleonore.
Subimos el binario a alguno de estos servicios y fijaros qué datos tan interesantes podemos extraer de su comportamiento:

Por favor, si queréis obtener vuestras propias muestras de malware para probar el análisis online, ser extremadamente cautos al descargar o acceder a este tipo de URLs. Como dicen por ahí, ¡nosotros no nos hacemos responsables!

Por último, tengo que decir que, aunque estos servicios online sandbox son enormemente útiles porque son gratuitos y pueden ahorrarnos bastante tiempo, no son siempre efectivos.

No hay más que echar un vistazo a la imagen con las capacidades anti-debug del builder de un conocido como Spy-Net.

Hoy en día, la industria del crimeware escribe códigos cada vez más complejos y capaces de distinguir entre un sistema de usuario final y un sistema de análisis de malware, por lo que mi recomendación final es usar estos servicios online como complemento y utilizar además un equipo ‘físico’ para realizar el análisis real y en detalle, utilizando las herramientas de siempre: exploradores y monitorizadores de procesos, sniffers, detectores de cambios tipo regshot, desensambladores y depuradores como Olly e IDA, etc, etc..
.

Comentarios