Nueva versión de Marta, la solución de análisis avanzado de ficheros del CCN-CERT

  • La nueva versión permite investigar más a fondo los ficheros dañinos.
  • Se trata de una plataforma avanzada de multi-sandboxing1 dedicada al análisis automatizado de múltiples tipos de ficheros que pudieran tener algún comportamiento malicioso.
  • Esta solución, desarrollada por el CCN-CERT, está destinada a tods los organismos y empresas del Sector público y a empresas de interés estratégico

El CCN-CERT ha presentado una nueva versión de Marta, su plataforma avanzada de multi-sandboxing dedicada al análisis automatizado de múltiples tipos de ficheros que pudieran tener un comportamiento dañino. Esta solución permite almacenar, clasificar y tener disponible todas las muestras de código dañino en un entorno controlado. Con la información que se obtiene de ella, el analista podrá determinar qué tipo de funcionalidad y qué implicaciones tiene el fichero analizado.

Entre las principales ventajas de la solución del CCN-CERT se encuentra la detección precoz de amenazas provenientes de código dañino —analizando el comportamiento de un fichero en unos sistemas tipo— o la reducción de los tiempos del análisis y reporte que, en un incidente, pueden ser críticos. Asimismo, permite la utilización de un sitio centralizado y seguro en el que albergar las muestras de código dañino de un modo organizado y con una herramienta de búsqueda avanzada.

Marta almacena las evidencias de cada una de las exploraciones para su posterior procesamiento, revisión o presentación y permite retroalimentarse analizando objetos extraídos de otras exploraciones. Para lograr estas ventajas, realiza los análisis en tres fases:

  • Análisis estático (se pasa una serie de scripts estáticos sobre el fichero para obtener información específica).
  • Análisis dinámico (arranca una máquina virtual infectada con el código dañino para comprobar sus características, acciones y comportamientos)
  • Post-análisis donde se lanzan los procesos que analizan los patrones IOC y YARA que permiten clasificar los análisis por su comportamiento y actividad.

 


1 Sandbox: Mecanismo de protección utilizado en algunos lenguajes o entornos de programación que limita el acceso que tiene un programa a los recursos del sistema. Un recinto restringe un programa a una serie de privilegios y comandos que le dificultan o imposibilitan el causar algún daño a la información del usuario. Más información en: Guía CCN-STIC 400 Glosario de Términos

 

Solución Marta

Datasheet de Marta

CCN-CERT (06/06/2018)

 

 

Ministerio de Defensa
CNI
CCN
CCN-CERT