SANDBOX CSIRT-PONAL

Las amenazas cibernéticas son una de las mayores preocupaciones de las entidades y personas al día de hoy, dada la variedad de mecanismos que utilizan los ciberdelincuentes para propagar malware e infectar a sus víctimas con el fin de tomar provecho de su información. Una de estas técnicas es la ingeniería social, técnica que hace creer a los usuarios del internet que les fue impuesta una multa de tránsito, están atrasados con los impuestos, citaciones a entidades judiciales, reportados por mora, entre otros.  Estos son algunos de los casos que sean observado en Colombia.

Esta técnica utiliza la mayoría de las veces el correo electrónico como medio de notificación, que trae archivos adjuntos o links que al dar clic o ejecutar, puede infectar su máquina.

Con base en lo anterior, el CSIRT-PONAL implementó una herramienta SANDBOX (caja de arena) en línea, con el fin de que los ciudadanos en general puedan verificar este tipo de links y archivos que vienen adjuntos dentro de su correo electrónico.

Una SANDBOX es un entorno aislado y controlado en el cual se pueden ejecutar archivos y urls con el fin de analizar el comportamiento que presenta en una máquina, para así determinar si se trata de malware o no.

Para hacer uso de esta herramienta, puede ingresar al portal https://cc-csirt.policia.gov.co opción SANDBOX, como lo puede ver en la siguiente imagen.
 
1.png

Cuando el usuario ingresa, tiene la opción de subir archivos y urls, para lo cual cuenta con las siguientes opciones

2.png
 
Una vez adjunte el archivo o url, deberá esperar unos minutos mientras se procesa la información. Cuando finalice la tarea, en la opción “Recent” aparecerá un ID asignado al nombre del adjunto procesado, junto con la fecha, un hash (solo archivos) y un Score en cuanto al nivel de amenaza, según el resultado del análisis.     
 
3.png
 
Es importante tener en cuenta, que el score no basta para determinar si en realidad se trata de una amenaza, puesto que muchos factores pueden influir en el resultado. Por ejemplo, un archivo malicioso puede tener técnicas antisandboxing, con lo cual no se ejecuta al 100% cuando detecta que está siendo ejecutado en una SANDBOX, dando como resultado un Score bajo; también se puede dar el caso en que un archivo limpio arroje un Score alto, debido a la cantidad de procesos que se ejecutan al abrirlo. Es por ello que se debe analizar toda la información que arroje la herramienta, para lo cual daremos una breve explicación de los puntos a tener en cuenta, a quienes no tengan un perfil técnico.
 
Para desplegar más información del análisis, se debe dar clic en cualquiera de los vínculos de color azul que correspondan al ID que arrojó la herramienta para dicha tarea, con lo cual, en la parte izquierda se tendrá la opción de Summary (personas expertas) y Static Analysis (usuarios no técnicos).

7.png

Pestaña Summary

Esta pestaña es apta para personal experto, se pueden visualizar las Signatures (Firmas) que se activan al procesar la tarea, capturas de pantalla de las acciones del archivo o url y las conexiones de red que se realizan durante la ejecución.

Lo importante a tener en cuenta en esta vista, son las capturas de pantalla que muestran la actividad de ejecución de la tarea, con el fin de tener un contexto del contenido. En la siguiente imagen (análisis con ID 59) se puede observar, 14 detecciones de antivirus y la apertura de un documento PDF cuyo contenido es un enlace con hipervínculo, modalidad mediante la cual se busca engañar a las personas para ser infectadas con malware.      
 
4.png
 
Pestaña Static Analysis

En esta pestaña se pueden observar cuantas firmas de antivirus lo han categorizado como malware, adicionalmente da algunos metadatos.  Por lo cual, aquellas personas no técnicas deben enfocarse en esta opción.  

5.png

Pestaña Unlock sidebar

Simplemente bloquea la barra lateral para ser visualizada de forma permanente, según el gusto del usuario.
 
6.png
 
Para concluir, la SANDBOX-PONAL, es una herramienta abierta de su para el público en general, la cual busca brindar un mecanismo de análisis de malware a aquellas entidades que quieran hacer uso de esta, permitiendo identificar y generar alertas sobre las diferentes modalidades con las cuales los ciberdelincuentes buscan propagar y ejecutar archivos maliciosos con el propósito de afectar la integridad, confidencialidad y disponibilidad de la información de los ciudadanos.  
Compartir: