- La nueva versión permite investigar más a fondo los ficheros dañinos.
- Se trata de una plataforma avanzada de multi-sandboxing1 dedicada al análisis automatizado de múltiples tipos de ficheros que pudieran tener algún comportamiento malicioso.
- Esta solución, desarrollada por el CCN-CERT, está destinada a tods los organismos y empresas del Sector público y a empresas de interés estratégico
El CCN-CERT ha presentado una nueva versión de Marta, su plataforma avanzada de multi-sandboxing dedicada al análisis automatizado de múltiples tipos de ficheros que pudieran tener un comportamiento dañino. Esta solución permite almacenar, clasificar y tener disponible todas las muestras de código dañino en un entorno controlado. Con la información que se obtiene de ella, el analista podrá determinar qué tipo de funcionalidad y qué implicaciones tiene el fichero analizado.
Entre las principales ventajas de la solución del CCN-CERT se encuentra la detección precoz de amenazas provenientes de código dañino —analizando el comportamiento de un fichero en unos sistemas tipo— o la reducción de los tiempos del análisis y reporte que, en un incidente, pueden ser críticos. Asimismo, permite la utilización de un sitio centralizado y seguro en el que albergar las muestras de código dañino de un modo organizado y con una herramienta de búsqueda avanzada.
Marta almacena las evidencias de cada una de las exploraciones para su posterior procesamiento, revisión o presentación y permite retroalimentarse analizando objetos extraídos de otras exploraciones. Para lograr estas ventajas, realiza los análisis en tres fases:
- Análisis estático (se pasa una serie de scripts estáticos sobre el fichero para obtener información específica).
- Análisis dinámico (arranca una máquina virtual infectada con el código dañino para comprobar sus características, acciones y comportamientos)
- Post-análisis donde se lanzan los procesos que analizan los patrones IOC y YARA que permiten clasificar los análisis por su comportamiento y actividad.
1 Sandbox: Mecanismo de protección utilizado en algunos lenguajes o entornos de programación que limita el acceso que tiene un programa a los recursos del sistema. Un recinto restringe un programa a una serie de privilegios y comandos que le dificultan o imposibilitan el causar algún daño a la información del usuario. Más información en: Guía CCN-STIC 400 Glosario de Términos
CCN-CERT (06/06/2018)