Buster Sandbox Analyzer

[Buster_BSA]

Disponible la versión 1.66 del Buster Sandbox Analyzer.

Cambios:

+ Añadidos nuevos comportamientos malware
+ Mejorada la función que vuelca procesos
+ Actualización de BSA.DAT
+ Actualización de LOG_API
+ Corregidos varios fallos

[int_0x40]

Hacía falta un video así para los flojos que no leen el manual y nunca han usado sandboxie.

Para mí es muy buena aplicación y estoy de acuerdo en que nada que ver con hijackthis

[Buster_BSA]

Disponible la versión 1.67 de Buster Sandbox Analyzer.

Cambios:

+ Mejorado el soporte de la sección "[File_Strings]" en BSA.DAT
+ Añadida la sección "[Custom_LogAPI_Entries]" en BSA.DAT
+ Añadida el soporte para comodines en RegistryExclude.TXT
+ Añadido soporte para la utilidad HexDive de Hexacorn
+ Añadido nuevos comportamientos malware
+ Incluído nuevos comportamientos malware en "Ratios de Evaluación de Riesgo"
+ Añadido soporte de LOG_API para aplicaciones de 64-bit

[CrowSuz]

Hola Buster, me gustaría saber si hay alguna guia o manual donde aparezca una lista con todas las acciones sospechosas de malware que analiza tu software y los motivos que llevan a activar o no cada una de ellas.

Estuve mirando en tu pagina y el manual, pero no vi lo que busco, tal vez necesite releerlo más a fondo.

Lo pregunto porque analice software creado por mi (un sencillo script en python) y me saltaba la alerta de keylogger y alguna otra más que ahora por desgracia no recuerdo, el script solo realiza una lectura de un parametro via teclado y devuelve algo por pantalla, como digo, muy simple, por lo que me sorprende que detecte eso.

Un saludo!

[Buster_BSA]

Hola Buster, me gustaría saber si hay alguna guia o manual donde aparezca una lista con todas las acciones sospechosas de malware que analiza tu software y los motivos que llevan a activar o no cada una de ellas.

Vas a Utilities > Malware Analyzer > Risk Evaluating Ratings

Ahí están listadas todas las acciones sospechosas. Si activas los "hint" (Settings > Show Hints) podrás ver una descripción.

Si quieres una explicación técnica de alguna acción en concreto me lo dices.

Estuve mirando en tu pagina y el manual, pero no vi lo que busco, tal vez necesite releerlo más a fondo.

En el manual no viene.

Lo pregunto porque analice software creado por mi (un sencillo script en python) y me saltaba la alerta de keylogger y alguna otra más que ahora por desgracia no recuerdo, el script solo realiza una lectura de un parametro via teclado y devuelve algo por pantalla, como digo, muy simple, por lo que me sorprende que detecte eso.

La alerta de keylogger es algo que casi siempre hay que descartar. De hecho he estado tentado en varias ocasiones de eliminar esa alerta o de al menos cambiar para que no salte tan fácilmente.

El problema está en que una API que se puede usar para crear un keylogger es muy común y casi todas las aplicaciones la usan.

El dilema está entre si debería eliminar la API para evitar esa alerta o si debería dejarla porque es más importante que si un keylogger la usa el programa saque la alerta.

Estoy empezando a pensar que debería eliminar la API.

Saludos.

[CrowSuz]

Gracias por la respuesta Buster! le echare un ojo a lo de los ratings con tranquilidad a ver si me entero de ello.

Sobre el tema de los keyloggers, voy a aventurarme a decir algo, aunque al no saber de esto lo mismo es una chorrada xD, podrían mirarse (lo que no se es como) patrones que sigan todos los keyloggers aparte del uso de ese API, para así poder crear una regla que se ajuste más al comportamiento de los loggers y no de cualquier software que utilice el API en concreto.

(yo probé con mi script porque me parecía raro ver como saltaba el keylogger en aplicaciones de confianza como geany, komodo ide y alguna otra)

[Buster_BSA]

Sobre el tema de los keyloggers, voy a aventurarme a decir algo, aunque al no saber de esto lo mismo es una chorrada xD, podrían mirarse (lo que no se es como) patrones que sigan todos los keyloggers aparte del uso de ese API, para así poder crear una regla que se ajuste más al comportamiento de los loggers y no de cualquier software que utilice el API en concreto.

Las reglas "per se" ya existen.

Los patrones típicos que siguen los keyloggers son, además de capturar las pulsaciones obviamente:

- Escribir en disco lo que capturan
- Mandar por internet la información capturada

Por lo tanto la forma de confirmar que se trata de un keylogger sería:

- Chequear los ficheros que se han escrito en disco y mirar si contienen cosas que hayas escrito. Un problema podría ser que la información estuviera cifrada.

- Chequear el tráfico de red de la misma forma que harías con los ficheros escritos en disco.

El asunto tiene cierta ironía: el tema de la detección de los keyloggers es complejo debido a la sencillez con la que se puede programar uno. Y digo lo de la ironía porque cuanto más complejo es un malware, más acciones realiza, y cuantas más acciones realiza, más fácil resulta concluir que es un malware.

[Buster_BSA]

Released Buster Sandbox Analyzer 1.68.

Changes:

+ Added support to analyze URLs from command line
+ Added support for FakeNet
+ Updated ssdeep tool to version 2.8
+ Updated BSA.DAT
+ Updated LOG_API
+ Fixed several bugs

[Buster_BSA]

Released Buster Sandbox Analyzer 1.69.

Changes:

+ Added a feature to generate statistics
+ Updated "Report Manager" feature
+ Updated LOG_API
+ Fixed several bugs

[Buster_BSA]

Released Buster Sandbox Analyzer 1.70.

Changes:

+ Added new malware behaviours
+ Improved "Additional Information" feature
+ Included new malware behaviours at "Risk Evaluation Ratings"
+ Added deutsch language translation (thanks to AV-Comparatives)
+ Updated BSA.DAT
+ Updated LOG_API
+ Updated HexDive
+ Updated SIGNSRCH.SIG