Escrito por Redacción Byte TI
Fuente: https://www.revistabyte.es/
Técnicas avanzadas anti- evasión: revelando una verdad oculta
Para
revelar todo el potencial del malware, la tecnología sandbox debe
contar con avanzadas técnicas anti-evasión. Un programa malicioso,
desarrollado para funcionar en un determinado entorno de software, no se
activará en una máquina virtual “limpia”. Para evitar esto, Kaspersky
Cloud Sandbox aplica diversas técnicas de emulación, como hacer clic en
el botón de Windows, desplazar documentos, realizar procesos de rutina
especiales que dan al malware la oportunidad de exponerse, o simular de
forma aleatoria los parámetros del entorno del usuario , entre muchos
otros.
Kaspersky Cloud Sandbox, que utiliza la infraestructura de
máquina virtual, permite a los usuarios analizar archivos sospechosos de
forma manual y automática.
Sistema de registro: nada se pierda en el ruido
Cuando
el malware comienza a ejecutar sus acciones, Kaspersky Cloud Sandbox
utiliza su subsistema de registro e intercepta acciones maliciosas de
forma no invasiva. Cuando un documento empieza a comportarse de un modo
sospechoso, como por ejemplo si comienza a construir una cadena en la
memoria del equipo, ejecutar comandos Shell o “soltar sus cargas”, estos
eventos quedan registrados en el subsistema de registro de Kaspersky
Cloud Security, que tiene la capacidad de detectar un amplio espectro de
eventos maliciosos, incluyendo DLL, registro y modificación de las
claves de registro, solicitudes HTTP y DNS, creación, eliminación y
modificación de archivos, etc. El cliente recibe un informe completo que
contiene gráficos de visualización de datos y capturas de pantalla, así
como un registro legible de sandbox.
Gran rendimiento en la detección y la respuesta ante incidentes
El
rendimiento de la detección de Kaspersky Cloud Sandbox se apoya en la
inteligencia de amenazas en tiempo real de Kaspersky Security Network
(KSN), que proporciona a los clientes información inmediata sobre
amenazas conocidas y nuevas. El análisis de comportamiento avanzado,
basado en los 20 años de experiencia en investigación de Kaspersky Lab,
permite a los clientes detectar objetos maliciosos que antes no eran
visibles.
Kaspersky Cloud Sandbox, que utiliza la infraestructura de máquina virtual, permite a los usuarios analizar archivos sospechosos de forma manual y automática
Además de contar con capacidades avanzadas de
detección, los SOC e investigadores pueden ampliar sus actividades de
respuesta a incidentes utilizando otros servicios disponibles en el
portal de Kaspersky Threat Intelligence. Al realizar un análisis forense
digital o dar una respuesta a incidentes, un experto en ciberseguridad
puede recibir la última información detallada de amenazas sobre URLs,
dominios, direcciones IP, hash de archivos, nombres de amenazas, datos
estadísticos/comportamiento y datos WHOIS/DNS, y luego vincular todo ese
conocimiento con los códigos IOC generados por la muestra analizada
dentro de Cloud Sandbox. También hay APIs disponibles para automatizar
su integración en las operaciones de seguridad del cliente, lo que
permite que los equipos de ciberseguridad mejoren sus investigaciones
sobre incidentes en cuestión de minutos.
“Con las empresas
viéndose amenazadas por el cibercrimen cada vez con mayor frecuencia, la
necesidad de una rápida respuesta a incidentes y de un análisis forense
digital nunca ha sido mayor. Kaspersky Cloud Sandbox es una
incorporación importante al ecosistema de inteligencia de amenazas
global de Kaspersky Lab que aborda todos estos desafíos. Complementando
la extensa información sobre amenazas disponible para los clientes del
portal Kaspersky Threat Intelligence, Kaspersky Cloud Sandbox se
convierte en un servicio único para el análisis detallado de archivos
que permite a los analistas de seguridad y a los equipos SOC, obtener
información sobre el comportamiento de los archivos, sin ningún riesgo
para la infraestructura de TI”, comenta Nikita Shvetsov, CTO, Kaspersky
Lab.
0 Comentarios