Ayuda para mejorar el Buster Sandbox Analyzer

Iniciado por Buster_BSA, 17 Enero 2021, 10:39 AM

0 Miembros y 1 Visitante están viendo este tema.

Buster_BSA

Hola.

Hace años que no actualizaba Buster Sandbox Analyzer, mi "malware behavior analyzer", una herramienta para analizar el comportamiento de los programas analizados de forma dinámica.

En este tiempo pueden haber aparecido nuevas técnicas de persistencia, de detección de sandboxes y máquinas virtuales, de redireccionar a páginas en los navegadores, etc, etc.

¿Hay alguien que normalmente analice malwares y que me pueda echar una mano para poner al día mi herramienta? La idea es añadir los comportamientos sospechosos que no están soportados.

¡Gracias por adelantado a los que colaboren a mejorar la herramienta!

Buster_BSA


el-brujo

pues no me dedico a analizar muestras de malware, pero si conozco algunas de las herramientas que existen (que no son precisamente pocas).

La verdad es que en los últimos años han aparecido un montón de servicios online muy, muy completos.



Lo que yo haría es tomar ideas de otros servicios y proyectos (siempre que sea factible, claro está).

Recopilación herramientas y servicios on-line:
https://blog.elhacker.net/2015/06/servicios-automatizados-de-analisis-de-malware-online-cloud-nube.html

(Cloud Malware Analysis Services)

    Anubis : http://anubis.iseclab.org

    Any Run : https://any.run

    Malwr : Basado en Cuckoo Sandbox https://malwr.com/submission

    Threat Expert : http://www.threatexpert.com/submit.aspx

    Camas Comodo: http://camas.comodo.com/

    Threat Track : http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx

    Vicheck : https://www.vicheck.ca

    VirusTotal: https://www.virustotal.com/

    VxStream: https://www.hybrid-analysis.com/

Buster_BSA

#3
Me temo que eso no ayuda. En la documentación del Buster Sandbox Analyzer ya hay una recopilación de servicios online de análisis.

http://bsa.isoftware.nl/frame3.htm

y lo de tomar ideas ya lo hice.

Lo que busco son comportamientos que se pueden considerar sospechosos que todavía no estén soportados en mi herramienta, o sea, estoy en el punto en que necesito un grado de concreción enorme.

Buster_BSA

Lo que estoy buscando son cosas como por ejemplo:


- APIs usadas por malwares. Por ejemplo "GlobalMemoryStatusEx" que se usa para saber la memoria que tiene el sistema.

- Claves de registro como por ejemplo:

\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion

que son utilizadas para identificar máquinas virtuales

Necesito ese tipo de ayuda.

Buster_BSA

Sigo buscando ayuda con el tema de los comportamientos sospechosos. Si alguien puede echar una mano se lo agradecería.