{"id":21351,"date":"2023-06-05T17:00:11","date_gmt":"2023-06-05T20:00:11","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21351"},"modified":"2023-06-05T17:00:11","modified_gmt":"2023-06-05T20:00:11","slug":"sandbox-working-environment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/sandbox-working-environment\/21351\/","title":{"rendered":"Aprimorando o melhor sandbox"},"content":{"rendered":"<p>Rodar um sandbox \u00e9 uma das ferramentas mais eficazes que existem para analisar objetos suspeitos e detectar comportamentos maliciosos. Diferentes implementa\u00e7\u00f5es dessa tecnologia s\u00e3o usadas em uma ampla gama de solu\u00e7\u00f5es de seguran\u00e7a. Mas a precis\u00e3o da detec\u00e7\u00e3o de amea\u00e7as depende diretamente da maneira como o sandbox emula o ambiente no qual os objetos suspeitos s\u00e3o executados.<\/p>\n<h2>O que \u00e9 o sandbox e como funciona<\/h2>\n<p>Um sandbox \u00e9 uma ferramenta que cria um ambiente isolado no qual o comportamento de processos suspeitos pode ser analisado. Isso geralmente ocorre em uma m\u00e1quina virtual ou cont\u00eainer, o que permite ao analista examinar objetos potencialmente maliciosos sem o risco de infectar ou danificar um ambiente de trabalho real ou vazar dados corporativos importantes.<\/p>\n<p>Por exemplo, o sandbox na plataforma Kaspersky Anti Targeted Attack (KATA) funciona da seguinte forma: se algum componente da solu\u00e7\u00e3o de seguran\u00e7a detecta um objeto perigoso ou suspeito (por exemplo, um arquivo ou uma URL), ele \u00e9 enviado para o sandbox para an\u00e1lise, junto com os detalhes do ambiente de trabalho (vers\u00e3o do sistema operacional, lista de programas instalados, configura\u00e7\u00f5es do sistema, etc.). O sandbox executa o objeto ou navega at\u00e9 a URL, registrando todos os processos:<\/p>\n<ul>\n<li>Logs de execu\u00e7\u00e3o, incluindo chamadas de API do sistema, opera\u00e7\u00f5es de arquivo, atividade de rede, URLs e processos acessados \u200b\u200bpelo objeto<\/li>\n<li>Capturas de sistema e de mem\u00f3ria (despejos)<\/li>\n<li>Objetos criados (descompactados ou baixados)<\/li>\n<li>Tr\u00e1fego de rede<\/li>\n<\/ul>\n<p>Ap\u00f3s a conclus\u00e3o do cen\u00e1rio de teste, os dados coletados s\u00e3o analisados \u200b\u200be verificados em busca de vest\u00edgios de atividade maliciosa. Caso sejam encontrados, o objeto \u00e9 sinalizado como malicioso e as t\u00e9cnicas, t\u00e1ticas e procedimentos identificados s\u00e3o mapeados para a matriz <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mitre-attack\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK<\/a>. Todos os dados recuperados s\u00e3o armazenados para an\u00e1lise posterior.<\/p>\n<h2>Desafios do Sandbox<\/h2>\n<p>O principal problema com os sandboxes \u00e9 que os cibercriminosos os conhecem e aprimoram constantemente seus m\u00e9todos de evas\u00e3o. Para contornar a prote\u00e7\u00e3o do sandbox, os cibercriminosos focam no desenvolvimento de tecnologias para detectar recursos espec\u00edficos de ambientes virtuais. Eles fazem isso procurando artefatos caracter\u00edsticos ou estados da sandbox, ou comportamento n\u00e3o natural do usu\u00e1rio virtual. Ao detectar (ou apenas suspeitar) de tais sinais, o programa malicioso altera seu comportamento ou se autodestr\u00f3i.<\/p>\n<p>No caso de malware usado para ataques direcionados, os cibercriminosos analisam meticulosamente a configura\u00e7\u00e3o do sistema operacional e o conjunto de programas usados \u200b\u200bna m\u00e1quina alvo. A atividade maliciosa \u00e9 acionada apenas se o software e o sistema estiverem em total conformidade com as expectativas dos invasores. O malware pode funcionar em intervalos de tempo estritamente definidos ou ser ativado ap\u00f3s uma determinada sequ\u00eancia de a\u00e7\u00f5es do usu\u00e1rio.<\/p>\n<h2>Como tornar um ambiente artificial mais real<\/h2>\n<p>Para enganar uma amea\u00e7a potencial em um ambiente seguro, s\u00e3o implementadas combina\u00e7\u00f5es de diferentes abordagens:<\/p>\n<ul>\n<li>Ambientes virtuais vari\u00e1veis \u200b\u200be aleat\u00f3rios: cria\u00e7\u00e3o de v\u00e1rios sandboxes com diferentes combina\u00e7\u00f5es de configura\u00e7\u00f5es e software instalado<\/li>\n<li>Simula\u00e7\u00e3o realista do comportamento do usu\u00e1rio, incluindo a velocidade de digita\u00e7\u00e3o de senhas, visualiza\u00e7\u00e3o de texto, movimenta\u00e7\u00e3o do cursor, clique do mouse<\/li>\n<li>Uso de uma m\u00e1quina f\u00edsica separada (n\u00e3o virtual) isolada do ambiente de trabalho para analisar objetos suspeitos relacionados a ataques de hardware e drivers de dispositivo<\/li>\n<li>Uma combina\u00e7\u00e3o de an\u00e1lise est\u00e1tica e din\u00e2mica; monitoramento do comportamento do sistema em determinados intervalos de tempo; uso de tecnologias de acelera\u00e7\u00e3o de tempo em m\u00e1quinas virtuais<\/li>\n<li>Uso de c\u00f3pias de esta\u00e7\u00f5es de trabalho reais do ambiente de destino, incluindo sistema operacional e configura\u00e7\u00e3o de programas, plug-ins e configura\u00e7\u00f5es de seguran\u00e7a<\/li>\n<\/ul>\n<p>Nosso <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/sandbox\" target=\"_blank\" rel=\"noopener nofollow\">sandbox<\/a> implementa todas essas t\u00e9cnicas: pode emular o comportamento de um usu\u00e1rio real, implantar ambientes aleat\u00f3rios e operar em modo manual ou autom\u00e1tico. E recentemente atualizamos nossa solu\u00e7\u00e3o estendida de detec\u00e7\u00e3o e resposta \u2013 Kaspersky Anti Targeted Attack Platform. A sandbox integrada agora permite que voc\u00ea use imagens de sistema personalizadas com uma escolha de sistema operacional (da lista de compat\u00edveis) e instale programas de terceiros. Mais informa\u00e7\u00f5es sobre a plataforma est\u00e3o dispon\u00edveis na <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/anti-targeted-attack-platform?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">p\u00e1gina KATA dedicada<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A efetividade de um sandbox depende em grande parte de sua capacidade de imitar realisticamente um ambiente de trabalho.<\/p>\n","protected":false},"author":2725,"featured_media":21352,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1029],"tags":[218,2044,3165,40,77],"class_list":{"0":"post-21351","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-technology","10":"tag-ameacas","11":"tag-sandbox","12":"tag-sandboxing","13":"tag-seguranca","14":"tag-tecnologia"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sandbox-working-environment\/21351\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sandbox-working-environment\/25704\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sandbox-working-environment\/21124\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sandbox-working-environment\/28392\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sandbox-working-environment\/26003\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sandbox-working-environment\/26384\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sandbox-working-environment\/28871\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sandbox-working-environment\/35580\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sandbox-working-environment\/48272\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sandbox-working-environment\/20665\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sandbox-working-environment\/30193\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sandbox-working-environment\/26426\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sandbox-working-environment\/32014\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sandbox-working-environment\/31700\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21351","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21351"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21351\/revisions"}],"predecessor-version":[{"id":21354,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21351\/revisions\/21354"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21352"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21351"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21351"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21351"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}