IntermediolaboratoriocloudAWSHetznerCAPEarquitectura

Laboratorio de Análisis de Malware en la Nube: AWS, Hetzner y Arquitectura Cloud

Cómo montar un laboratorio de análisis de malware en la nube. Arquitectura con AWS/Hetzner, CAPE sandbox en cloud, VPN para acceso seguro, costes estimados, y ventajas sobre un laboratorio local para equipos distribuidos.

MalwareIntel Research··6 min lectura
Serie: Entornos de Análisis — Parte 17

El laboratorio que llevas contigo

Un laboratorio de malware en cloud resuelve problemas prácticos: no necesitas hardware dedicado en tu oficina, puedes acceder desde cualquier lugar, y el malware nunca toca tu red local. Para equipos distribuidos o analistas que viajan, es la única opción práctica.

Arquitectura

Arquitectura básica (analista individual)

Internet
    │
    ├── VPN (WireGuard/Tailscale)
    │       │
    │   ┌───▼────────────────────────────────────┐
    │   │        Cloud VPC (aislada)              │
    │   │                                          │
    │   │   ┌──────────────┐  ┌───────────────┐   │
    │   │   │  Analysis VM  │  │  REMnux VM    │   │
    │   │   │  (FLARE VM    │  │  (INetSim,    │   │
    │   │   │   Windows)    │←→│   Wireshark)  │   │
    │   │   └──────────────┘  └───────────────┘   │
    │   │        Internal network only             │
    │   └──────────────────────────────────────────┘
    │
    └── NO acceso directo a Internet desde las VMs

Arquitectura con CAPE (equipo)

Internet
    │
    ├── VPN (WireGuard)
    │       │
    │   ┌───▼────────────────────────────────────────────┐
    │   │           Cloud VPC                             │
    │   │                                                  │
    │   │   ┌────────────────┐                            │
    │   │   │  CAPE Server    │  Web UI :8000              │
    │   │   │  (Ubuntu, KVM)  │  API endpoint              │
    │   │   │                 │                            │
    │   │   │  ┌────────┐    │                            │
    │   │   │  │ Win10  │    │  Guest VMs (KVM nested)    │
    │   │   │  │ Win7   │    │  Auto-create, auto-revert  │
    │   │   │  │ Linux  │    │                            │
    │   │   │  └────────┘    │                            │
    │   │   └────────────────┘                            │
    │   │                                                  │
    │   │   ┌────────────────┐  ┌────────────────┐       │
    │   │   │  Analysis VM    │  │  Storage        │       │
    │   │   │  (manual work)  │  │  (samples, logs)│       │
    │   │   └────────────────┘  └────────────────┘       │
    │   │                                                  │
    │   │   ┌────────────────┐                            │
    │   │   │  INetSim        │  Fake Internet services    │
    │   │   └────────────────┘                            │
    │   └──────────────────────────────────────────────────┘

Opciones de cloud

Hetzner (recomendado para precio)

ServidorSpecsPrecioUso
CPX314 vCPU, 8 GB RAM, 160 GB~15 EUR/mesAnalysis VM individual
CPX418 vCPU, 16 GB RAM, 240 GB~28 EUR/mesCAPE server básico
CPX5116 vCPU, 32 GB RAM, 360 GB~55 EUR/mesCAPE server completo
AX41Ryzen 5 3600, 64 GB RAM, 2x512 GB NVMe~46 EUR/mesBare-metal, CAPE pro
AX52Ryzen 7 5800X, 64 GB RAM, 2x1 TB NVMe~67 EUR/mesBare-metal, múltiples VMs

Ventajas Hetzner: nested virtualization soportada en cloud, bare-metal disponible, datacenter EU (Frankfurt, Helsinki, Ashburn), precio imbatible.

AWS

InstanciaSpecsPrecio on-demandUso
t3.xlarge4 vCPU, 16 GB RAM~120 USD/mesAnalysis VM
t3.2xlarge8 vCPU, 32 GB RAM~240 USD/mesCAPE básico
m5.4xlarge16 vCPU, 64 GB RAM~560 USD/mesCAPE completo
c5.metal96 vCPU, 192 GB RAM~3.200 USD/mesLab completo bare-metal

Ventajas AWS: VPC con Security Groups granulares, IAM para control de acceso, CloudWatch para logging, y Spot Instances para reducir costes (60-70% descuento).

Tip: usar Spot Instances para las VMs de análisis que se crean/destruyen. Reserved Instances para el servidor CAPE permanente.

Setup en Hetzner

1. Crear servidor

# Via hcloud CLI
hcloud server create \
  --name cape-server \
  --type cpx51 \
  --image ubuntu-22.04 \
  --ssh-key my-key \
  --location fsn1

# O via Hetzner Cloud Console (GUI)

2. Configurar red privada

# Crear red privada
hcloud network create --name malware-lab --ip-range 10.0.0.0/8
hcloud network add-subnet malware-lab --type server --network-zone eu-central --ip-range 10.0.1.0/24

# Añadir servidor a la red privada
hcloud server attach-to-network cape-server --network malware-lab --ip 10.0.1.1

3. Configurar firewall

# Firewall: solo permitir SSH y VPN
hcloud firewall create --name malware-lab-fw
hcloud firewall add-rule malware-lab-fw --direction in --protocol tcp --port 22 --source-ips 0.0.0.0/0 --description SSH
hcloud firewall add-rule malware-lab-fw --direction in --protocol udp --port 51820 --source-ips 0.0.0.0/0 --description WireGuard
# BLOQUEAR todo lo demas
hcloud firewall apply-to-server malware-lab-fw --server cape-server

4. Instalar WireGuard VPN

# En el servidor
apt install wireguard
wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key

cat > /etc/wireguard/wg0.conf << 'EOF'
[Interface]
PrivateKey = SERVER_PRIVATE_KEY
Address = 10.100.0.1/24
ListenPort = 51820

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.100.0.2/32
EOF

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5. Instalar CAPE

# Seguir guia de CAPE en el articulo dedicado
git clone https://github.com/kevoreilly/CAPEv2
cd CAPEv2
sudo ./installer/cape2.sh base

Acceso seguro

WireGuard (recomendado)

Tu PC ←── WireGuard VPN ──→ Cloud Server
              10.100.0.2          10.100.0.1
                                     │
                                     ├── CAPE Web: 10.100.0.1:8000
                                     ├── Analysis VM: 10.0.1.x (via RDP/VNC)
                                     └── SSH: 10.100.0.1:22

Tailscale (más fácil)

# En el servidor
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up

# En tu PC
tailscale up

# Acceso directo via Tailscale IPs
# Sin configurar port forwarding ni firewall rules

Costes estimados mensuales

Lab mínimo (analista individual)

ComponenteSpecsCoste (Hetzner)
1x CPX41 (CAPE + analysis)8 vCPU, 16 GB, 240 GB28 EUR
Storage adicional100 GB (samples)5 EUR
Total~33 EUR/mes

Lab completo (equipo SOC)

ComponenteSpecsCoste (Hetzner)
1x AX52 (CAPE server)Ryzen 7, 64 GB, 2 TB67 EUR
1x CPX31 (INetSim + analysis)4 vCPU, 8 GB15 EUR
Storage adicional500 GB22 EUR
Total~104 EUR/mes

Comparativa: lab local vs cloud

AspectoLocalCloud
Coste inicialAlto (hardware)Bajo (pay-as-you-go)
Coste mensualElectricidadSuscripción
AccesoSolo en la oficina (o VPN al office)Desde cualquier lugar
RendimientoDepende de tu hardwareEscalable
Aislamiento de red localRequiere configuración cuidadosaAislado por defecto (VPC)
Mantenimiento hardwareTu responsabilidadDel proveedor
PrivacidadTotal (tu hardware)En manos del proveedor cloud
LatenciaCeroDepende de ubicación

Fuentes y referencias

Preguntas frecuentes

Libros recomendados

Container Security (Liz Rice)

Amazon (enlace afiliado)

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Artículos relacionados

Entornos de AnálisisAvanzado

CAPEv2: Sandbox Automatizado Self-Hosted para Análisis de Malware

Entornos de AnálisisPrincipiante

Tu Primer Laboratorio: VirtualBox + FlareVM + REMnux

Entornos de AnálisisPrincipiante

FLARE VM: Configuración Paso a Paso de la Distro de Análisis de Malware

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.