Buster Sandbox Analyzer

Iniciado por Buster_BSA, 3 Junio 2010, 02:14 AM

0 Miembros y 1 Visitante están viendo este tema.

Buster_BSA

En [File_Types_Created_Modified] se definen los tipos de archivos que deben mostrarse cuando se crean o se modifican.

En [Custom_Folders_Entries] se definen los directorios que deben mostrarse cuando un fichero es escrito dentro de ellos.

Hay reglas que se cumplen para un mismo fichero. Imagina que definimos en [File_Types_Created_Modified] los ficheros tipo .SYS y en [Custom_Folders_Entries] definimos C:\Archivos de programa. Si aparece por ejemplo:

C:\Archivos de programa\Prueba\Fichero.SYS

ese fichero cumple ambas reglas: es .SYS y está en C:\Archivos de programa.

En ese caso sólo se notifica la primera coincidencia.

Las reglas están hechas para que sean lo más flexibles posibles y permitan abarcar el mayor abanico de situaciones posibles.

En cuanto a las sugerencias...

Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.

La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.

Novlucker

Claro, si he entendido entonces :)
La diferencia es que con un custom también recibo notificación de otras extensiones, como los bin que usa el zeus :P

CitarLo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.

La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.

Eso es verdad, ocurre en casi todos los casos, lo comentaba desde el punto de vista de marcar como peligroso un archivo por el hecho de crear un autorun.inf, esta claro que si analizamos un archivo es porque no le tenemos confianza, pero creo que es algo que puede pesar en cuanto al nivel de riesgo.

Esto lo comento porque hay algún "antivirus" para usb que se encuentra en la red, que entre otras cosas reporta como virus (muestra alerta) a un notepad.exe si lo pones como destino de un autorun.inf, es decir, un archivo legítimo te lo muestra como virus por estar ahí :-\

Pero ya, entiendo que parte de esta tool no es la de funcionar como un AV, sino por sobre todo alertar sobres los cambios y que luego alguien pueda evaluar.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Buster_BSA

Efectivamente. Con un custom podemos definir otras extensiones que nos parezcan significativas, com los .BIN o un .ZIP o un .RAR.

Y sí, BSA no es un antivirus ni pretende funcionar como tal. El antivirus debe ser el propio usuario.

Piensa que si con un log hecho con el HiJackThis eres capaz de decirle a un usuario si está infectado, imagina con un análisis hecho con el BSA que es muchísimo más completo. Más fácil todavía.

Novlucker

Ambos dos tienen sus ventajas, lo que ocurre es que para el hijackthis no necesito el ejecutable :P

Pero bueno, he estado revisando el .DAT y me parece realmente muy completo, así que por el momento no se me ocurren más nada.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Buster_BSA

Hay una diferencia significativa entre el BSA y el HiJackThis. El BSA previene y evita infecciones. El HiJackThis es para cuando piensas que ya estás infectado. Más vale prevenir que curar, así que es mejor pasar el BSA que el HiJackThis.  ;)

Gracias de todas formas por echarle un vistazo. Entiendo que es complicado encontrar cosas nuevas que añadir porque el proyecto está realmente avanzado.

Saludos.

traxtor

La tenia en la lista de pendientes, pero me temo que voy a tener que hacerla subir algunos puestos para poder examinarla lo antes posible. Enhorabuena!!

Saludos

Novlucker

Cita de: Buster_BSA en  4 Junio 2010, 20:58 PMHay una diferencia significativa entre el BSA y el HiJackThis. El BSA previene y evita infecciones. El HiJackThis es para cuando piensas que ya estás infectado. Más vale prevenir que curar, así que es mejor pasar el BSA que el HiJackThis. ;)

Lo se, lo que ocurre es que para eso deberías de usar el ordenador con el sandboxie, y la mayoría de los que vienen al foro ya se han infectado y ya es tarde, solo queda pedirles que intenten subir una muestra :xD

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Buster_BSA

El Sandboxie es una herramienta que todo el mundo debería usar pero la realidad es que la mayoría de la gente no lo conoce.  :-\

Para usar el BSA es imprescindible tener el Sandboxie instalado y eso echa para atrás a mucha gente pero teniendo en cuenta que no se nota que lo tienes instalado eso no debería ser obstáculo.

También asusta un poco que parece muy complejo porque tiene muchas opciones, pero para hacer análisis de malware no se necesita mas que ejecutar el fichero sospechoso. Apenas hay que configurar nada.

Estoy pensando en hacer unos video tutoriales cuando termine de añadir lo que tengo pendiente. Quizás así más gente se anime a usarlo.

Novlucker

No estaría mal, más vale que sobre y no que falte :P

Otra cosa que había olvidado comentar, si abres el BSA tal cual viene en el archivo comprimido da problemas con los archivos de pcap, te dice que falta este o aquel otro.

Ayer cuando me paso eso directamente me instale winpcap que lo tenía a mano, pero ahora me doy cuenta que viene dentro del rar, y que basta con mover todos los archivos del directorio PCAP para afuera (al directorio principal del BSA), quizás podrías hacer algo con eso, por lo mismo que algún usuario se "asusta" :-\

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Buster_BSA

Dentro del BSA.RAR hay un fichero llamado README.TXT (LEEME.TXT) donde se explica que el BSA necesita el WinPCap para funcionar. En caso de no querer instalarlo por los motivos que sean se tienen que copiar dos ficheros (que están en el directorio PCAP) al directorio System32 de Windows.

Copiar los dos ficheros simplemente evita el error y permite que el BSA se ejecute, pero la capacidad de capturar los paquetes de la red no estaría disponible. Esto provoca que características importantes para el analisis no funcionen. Por lo tanto instalar el WinPCap, aunque no es imprescindible, es altamente recomendable.

Otro problema es que la gente se pone a jugar con los programas sin antes leer la documentación. Luego me llega gente preguntando: oye, que cuando ejecuto el BSA me da un error y me dice que falta el fichero tal o el fichero cual...

¡RTFM!  ;D