Tu muestra no hace nada en el sandbox, pero el SOC la observó activa en un host real. ¿Cuál es la razón probable y tu respuesta?
Respuesta breve
El malware suele comprobar artefactos de VM/sandbox, tiempos de ejecución cortos o interacción del usuario y permanece inactivo si los detecta. Disfraza y endurece la VM de análisis, alarga la ejecución o pasa a bare metal, y extrae el comportamiento desde una imagen de memoria del host vivo. Suponer que está roto o que el host se equivocó ignora una muestra probadamente maliciosa en el mundo real. Reiniciar no cambia nada porque la lógica de evasión se dispara en cada ejecución.
Cuando una muestra está inerte en tu sandbox pero demostrablemente activa en un host de producción, el entrevistador comprueba si confías más en tus herramientas que en la evidencia, o al revés. La telemetría del host es la verdad de campo; el sandbox es lo que falló.
Por qué el anti-análisis es la respuesta probable
El malware moderno identifica rutinariamente su entorno antes de actuar. Busca artefactos de VM y sandbox (controladores específicos, rangos MAC, claves de registro, pocos núcleos/poca RAM), comprueba la presencia de un analista (archivos recientes, movimiento del ratón, uptime) y usa trucos de temporización (sleeps largos que superan la breve ventana de captura de un sandbox). Si huele a análisis, simplemente no hace nada: exactamente lo que observaste. La respuesta es derrotar esas comprobaciones: endurecer y disfrazar la VM para que parezca un puesto real, alargar el tiempo de ejecución más allá de los sleeps, simular interacción del usuario y, cuando haga falta, analizar en bare metal. Y lo crucial: como el SOC ya tiene una infección viva, puedes extraer una imagen de memoria del host real y recuperar el comportamiento del malware directamente, a menudo la vía más rápida de todas.
Por qué las otras opciones son erróneas
- La muestra simplemente está rota. Se ejecutó en un host real; el código «roto» no funciona selectivamente en producción. Esta explicación ignora la única prueba sólida que tienes.
- El informe del host fue erróneo. Descartar la telemetría del SOC para proteger tu resultado de sandbox es al revés. La detección en una máquina real tiene más autoridad que el silencio de tu laboratorio.
- Reiniciar el sandbox y esperar. La lógica de evasión se ejecuta idéntica en cada arranque. Reiniciar no cambia nada y pierde tiempo mientras el host vivo sigue comprometido.
Qué buscan los entrevistadores
Una respuesta senior nombra comprobaciones de evasión concretas, explica contramedidas concretas (endurecimiento de VM, ejecución prolongada, bare metal) y — el movimiento destacado — pivota al análisis de memoria del host ya infectado en vez de pelear con el sandbox. El criterio que se evalúa es la humildad ante las herramientas: cuando tu entorno y el mundo real discrepan, gana el mundo real, y adaptas el análisis a él.
Posibles preguntas de seguimiento
- Nombra tres artefactos concretos que el malware comprueba para identificar un sandbox, y cómo ocultarías cada uno.
- ¿Por qué el análisis de memoria del host ya infectado es a menudo la vía más rápida cuando la muestra no detona?
- ¿Cómo dispararías un comportamiento condicionado a la interacción del usuario (sleeps, movimiento del ratón, dominios concretos) en tu laboratorio?