En muchas ocasiones hemos ejecutado archivos que eran virus o malware en nuestro equipo. Dichos archivos los hemos podido recibir por medio de un correo electrónico, un pendrive infectado o simplemente descargando un archivo de la web que venía infectado.
La solución más sencilla es analizar los archivos con un antivirus y evitar que se ejecuten en nuestro equipo, pero ¿cómo podríamos realizar un estudio en profundidad del malware específico? ver cómo funciona, qué hace a nuestro ordenador y el daño real que puede causar.
Para poder realizar un análisis exhaustivo de un malware podemos utilizar una aplicación OpenSource llamada Cuckoo Sandbox. Dicha aplicación nos va a permitir saber qué es lo que en realidad hace un malware, a qué datos accede y cuánto peligro tenemos si somos infectados por él.
Cuckoo SandBox nos registrará los siguientes movimientos del malware:
- Las llamadas que se realicen a la API de Windows.
- Lista de archivos copiados, modificados o eliminados.
- Volcado de memoria.
- Capturas de pantalla que realice el malware.
Cuckoo SandBox está escrita en python y se necesita un sistema Linux para poder ejecutarla junto a la máquina virtual Windows. Su configuración puede ser bastante complicada al principio, por lo que más adelante publicaremos un manual con su completa configuración e instrucciones de uso.
Cuccko SandBox está disponible para descargar de forma gratuita desde su página web. De igual forma también está disponible su código fuente en Git.
Cuckoo Sandbox necesitará de una máquina virtual con un sistema operativo Windows dónde realizará las pruebas. Una herramienta excelente si queremos probar las capacidades de un malware sin necesidad de exponernos al riesgo que ello conlleva.
Para un óptimo análisis de malware se recomienda tener instaladas en la máquina virtual las versiones antiguas y vulnerables de los programas. Dichas versiones podemos obtenerlas desde esta web.