Digamos que mi máquina host está infectada y tengo un programa de sandbox. ¿Se infectará también ese entorno de espacio aislado?
Si la respuesta es sí, ¿qué pasa si tengo un AV ejecutándose dentro de la caja de arena? ¿Permitirá un entorno seguro de sandbox sin tener que eliminar el malware del host?
Parece que estás buscando respuestas concretas, pero no hay ninguna.
Si el host está infectado, es posible que también se vea afectado cualquier programa que se ejecute en el host. Pero, al igual que cualquier malware, tendría que ser programado para hacer eso. No todos lo hacen.
¿Permitirá el antivirus un entorno seguro en cualquier lugar ? No, un antivirus proporciona una capa de protección, por lo que no puede asumir que está seguro solo porque el antivirus se está ejecutando.
¿Puede el malware afectar a las cajas de arena? Sí. ¿Es común? No.
¿Puede el antivirus proteger la caja de arena? Tal vez, depende de muchos factores.
Esto va a ser una cuestión de implementación y la naturaleza de la infección.
Una instalación separada que se ejecuta en otra computadora en otra red generalmente no compartirá la infección a menos que la propia zona de pruebas se haya infectado en el nivel de la aplicación y se la pase a la instalación en vivo cuando se envíe una actualización.
Sin embargo, cuando el sandbox está instalado en algún lugar de la misma red que la versión en vivo, hay cosas que pueden afectar a ambos. Cuanto menos aislamiento tenga aquí, más probable es que ocurra una superposición. Por lo tanto, dos máquinas en una red pueden propagar un virus auto-replicante si tiene una configuración demasiado permisiva, o algo al nivel del enrutador puede afectar su tráfico. Una máquina con múltiples máquinas virtuales también puede ser vulnerable al mismo virus de BIOS pero inmune a la mayoría de las demás infecciones a nivel de sistema. Un solo sistema operativo con una separación mínima podría tener un nivel de vulnerabilidad variable según la configuración.
La respuesta corta es que siempre es posible, pero la forma en que se aísla su caja de arena hace una gran diferencia. Para obtener la mejor redundancia, debe mantener tres entornos separados. Un servidor en vivo (generalmente un servidor alojado en la nube), un servidor sandbox (generalmente algo local sobre el que tiene mucho control para que pueda hacerlo más o menos inaccesible desde Internet) y un servidor de respaldo (generalmente una nube). servidor separado de su servidor en vivo).
Las copias de seguridad son mucho más difíciles de propagar infecciones porque generalmente no son ejecutables. Si realiza una copia de seguridad limpia el lunes y guarda una copia de seguridad infectada el martes, el lunes aún debería estar limpio. Así que el miércoles, cuando descubres que tu aplicación está comprometida, puedes borrarla y obtener una copia de seguridad limpia desde el lunes y listo.
Lea otras preguntas en las etiquetas malware antimalware quarantine sandbox