Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Buster_BSA

#1
Hola.

Hace años que no actualizaba Buster Sandbox Analyzer, mi "malware behavior analyzer", una herramienta para analizar el comportamiento de los programas analizados de forma dinámica.

En este tiempo pueden haber aparecido nuevas técnicas de persistencia, de detección de sandboxes y máquinas virtuales, de redireccionar a páginas en los navegadores, etc, etc.

¿Hay alguien que normalmente analice malwares y que me pueda echar una mano para poner al día mi herramienta? La idea es añadir los comportamientos sospechosos que no están soportados.

¡Gracias por adelantado a los que colaboren a mejorar la herramienta!
#2
Seguridad / Buster Sandbox Analyzer
3 Junio 2010, 02:14 AM
Hola.

Los antivirus distan mucho de ser perfectos, al igual que los anti-malwares. Muchos malwares, sobre todo los de reciente creación, son indetectables por el antivirus que tenemos instalado en nuestro ordenador.

Una solución que ahora usa mucha gente para mitigar este problema es escanear con muchos antivirus, usando la web Virus Total por ejemplo.

Esa solución tiene dos grandes problemas: el menor de ellos es que debemos disponer de una conexión a internet para poder mandar los ficheros que queramos analizar. Sin conexión no hay análisis. El mayor problema es que un malware recién creado puede no ser detectado por ninguno de los antivirus.

El problema de los malwares no se reduce sólo a la infección o corrupción del sistema operativo o a la pérdida de datos. Quizás ése sea el menor de los problemas ya que las imágenes de disco o software del tipo Deep Freeze pueden prevenir esos problemas. El robo de información (documentos, claves bancarias, etc) es quizás el mayor reto a la hora de prevenir el malware. La solución típica a este problema suelen ser los firewalls y los HIPS.

Existe otro método para la detección de malwares y es el análisis del comportamiento. Se trata de ver qué acciones realiza una aplicación y utilizando unos parámetros determinar si esas acciones son típicas de los malwares. El clásico ejemplo de este tipo de solución es el Norman Sandbox Analyzer que es una solución orientada a profesionales. Orientado a "home users" existen aplicaciones pero la mayoría de ellas son on-line. Por ejemplo ThreatExpert, Anubis, JoeBox, CWSandbox, ...

Personalmente este método de detección de malwares me atrae porque es un método genérico. Donde los antivirus fallan este método puede triunfar. El problema es que hasta ahora no había ninguna solución personal para los usuarios de a pie. El Norman Sandbox Analyzer está fuera del alcance de la mayoría de los mortales (una licencia por un año cuesta más de 10.000 euros). Las soluciones on-line requieren de una conexión a Internet además de que nosotros realmente no poseemos el software.

Por eso decidí crear un analizador de malware. Bueno, en realidad es un analizador de software que dictamina si el comportamiento es el de un malware o no.

El resultado se llama Buster Sandbox Analyzer.

El desarrollo de la herramienta de análisis se pudo seguir en el foro de Sandboxie pero a día de hoy la web ha desaparecido. De todas formas se puede seguir consultando a través de la web archive.org:

https://web.archive.org/web/20160305005414/http://forums.sandboxie.com/phpBB3/viewtopic.php?f=22&t=6557

Muchas dudas sobre el manejo de Buster Sandbox Analyzer se pueden resolver ahí.

A día de hoy la web donde continúa el desarrollo y se explican los cambios y las nuevas funciones es:

https://www.wilderssecurity.com/threads/buster-sandbox-analyzer.428538/

La web del Buster Sandbox Analyzer es:

http://bsa.isoftware.nl

La página de descarga es:

http://bsa.isoftware.nl/framea.htm

El manual incluido con el programa no está actualizado. Ha habido cambios en el programa que hacen que la configuración sea diferente. El principal cambio es que antes se añadía esta línea en el fichero Sandboxie.ini:

OpenWinClass=TFormBSA

y ahora hay que añadir:

OpenPipePath=\Device\NamedPipe\LogAPI

La versión de Sandboxie que hay que utilizar se puede descargar desde aquí:

https://github.com/sandboxie-plus/Sandboxie

Recomiendo usar la versión "Classic":

https://github.com/sandboxie-plus/Sandboxie/releases/download/v0.5.3b/SandboxieInstall32-v5.45.2.exe

https://github.com/sandboxie-plus/Sandboxie/releases/download/v0.5.3b/SandboxieInstall64-v5.45.2.exe

Si alguien tiene alguna pregunta adelante, doy soporte.

El que lo pruebe que me cuente qué le parece.

Saludos.