Tema destacado: Nueva página de elhacker.net en Google+ 
 Autor
|
Tema: Buster Sandbox Analyzer (Leído 5,686 veces)
|
Buster_BSA
 Desconectado
Mensajes: 60
|
Hola. Los antivirus distan mucho de ser perfectos, al igual que los anti-malwares. Muchos malwares, sobre todo los de reciente creación, son indetectables por el antivirus que tenemos instalado en nuestro ordenador. Una solución que ahora usa mucha gente para mitigar este problema es escanear con muchos antivirus, usando la web Virus Total por ejemplo. Esa solución tiene dos grandes problemas: el menor de ellos es que debemos disponer de una conexión a internet para poder remitir los ficheros que queramos analizar. Sin conexión no hay análisis. El mayor problema es que un malware recién creado puede no ser detectado por ninguno de los antivirus. El problema de los malwares no se reduce sólo a la infección o corrupción del sistema operativo o a la pérdida de datos. Quizás ése sea el menor de los problemas ya que las imágenes de disco o software del tipo Deep Freeze pueden prevenir esos problemas. El robo de información (documentos, claves bancarias, etc) es quizás el mayor reto a la hora de prevenir el malware. La solución típica a este problema suelen ser los firewalls y los HIPS. Existe otro método para la detección de malwares y es el análisis del comportamiento. Se trata de ver qué acciones realiza una aplicación y utilizando unos parámetros determinar si esas acciones son típicas de los malwares. El clásico ejemplo de este tipo de solución es el Norman Sandbox Analyzer que es una solución orientada a profesionales. Orientado a "home users" existen aplicaciones pero la mayoría de ellas son on-line. Por ejemplo ThreatExpert, Anubis, JoeBox, CWSandbox, ... Personalmente este método de detección de malwares me atrae porque es un método genérico. Donde los antivirus fallan este método puede triunfar. El problema es que hasta ahora no había ninguna solución personal para los usuarios de a pie. El Norman Sandbox Analyzer está fuera del alcance de la mayoría de los mortales (una licencia por un año cuesta más de 10.000 euros). Las soluciones on-line requieren de una conexión a Internet además de que nosotros realmente no poseemos el software. Por eso decidí crear un analizador de malware. Bueno, en realidad es un analizador de software que dictamina si el comportamiento es el de un malware o no. El resultado se llama Buster Sandbox Analyzer. Se puede seguir el desarrollo de la aplicación aquí: http://sandboxie.com/phpbb/viewtopic.php?t=6557La web del programa es: http://bsa.isoftware.nlLa herramienta se puede descargar directamente desde aquí: http://bsa.isoftware.nl/bsa.rarLo típico... RTFM (read the fucking manual - lee el jodido manual) Si alguien tiene alguna pregunta adelante, doy soporte. El que lo pruebe que me cuente qué le parece. Saludos.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Yo lo hago a mano  Creo que en algún momento ya me había topado con esta tool e incluso la había descargado, pero no había llegado a probarla. Como podrás imaginar aquí somos un poco paranoicos con los archivos que cuelgan usuarios no "conocidos", así que lo primero que he hecho es verificar que fueras quién dices ser y probar la tool, yyyyy ... puedo ver que es un proyecto que llevas desde hace varios meses y cumple muy bien con su objetivo, incluso con la configuración básica  Una herramienta más para tener a mano  Saludos
|
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
Yo lo hago a mano Hacerlo a mano implica tener cierta experiencia con el análisis de malwares, algo de lo que carece la mayoría de usuarios. BSA pretende acercar el análisis de malwares a personas sin experiencia ni conocimientos previos. Yo creo que merece la pena invertir algo de tiempo en aprender a utilizarlo. Es realmente potente y llega donde normalmente los antivirus y antimalware tradicionales no llegan: detectar amenazas desconocidas. Creo que en algún momento ya me había topado con esta tool e incluso la había descargado, pero no había llegado a probarla. Como podrás imaginar aquí somos un poco paranoicos con los archivos que cuelgan usuarios no "conocidos", así que lo primero que he hecho es verificar que fueras quién dices ser y probar la tool, yyyyy ... puedo ver que es un proyecto que llevas desde hace varios meses y cumple muy bien con su objetivo, incluso con la configuración básica Hacéis las cosas como hay que hacerlas. Siempre hay que desconfiar del software que proviene de fuentes desconocidas. Incluso con software de fuentes conocidas te puedes llevar sorpresas. Hace unos meses se detectó un virus que infectaba una librería de Delphi. Cuando el programador compilaba su proyecto el virus automáticamente era compilado junto con el programa. En sitios confiables como Tucows había colgados programas infectados. Efectivamente ya llevo unos meses con el proyecto y en este momento se encuentra muy avanzado. Ya casi no se me ocurren cosas que añadir. Si tienes alguna sugerencia (comportamientos sospechosos que deberían ser tenidos en cuenta) te la agradecería. En la siguiente versión añadiré detección de "screenshots" ya que es una característica de los troyanos bancarios. Saludos.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
El Induc! la noticia sobre ese virus apareció en una cantidad de medio Efectivamente ya llevo unos meses con el proyecto y en este momento se encuentra muy avanzado. Ya casi no se me ocurren cosas que añadir. Si tienes alguna sugerencia (comportamientos sospechosos que deberían ser tenidos en cuenta) te la agradecería. Es lo que tiene, muchas veces no se puede pedir más fuera de a lo mejor pulir algún error que pueda haber. A ver si luego le puedo meter algún "bicho" conocido, como este de aquí, por si se me pudiese ocurrir algo Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
El análisis del bicho que indicas es éste: Detailed report of suspicious malware actions:
Created an event named: _fCanRegisterWithShellService
Created an event named: Global\ScmCreatedEvent
Created an event named: ShellReadyEvent
Created process: C:\Seguridad\ctfmon.exe,"C:\Seguridad\ctfmon.exe" ,C:\M\X
Created process: C:\WINDOWS\Explorer.exe,"C:\WINDOWS\Explorer.exe" /idlist,:444:3460,C:\M\X,C:\M\X
Defined Autostart file added: C:\AutoRun.inf
Defined Autostart file added: C:\RECYCLED\AUTOEXEC.BAT
Defined Autostart file added: D:\AutoRun.inf
Defined file type created: C:\Bootfont.sys
Defined file type created: C:\RECYCLED\AUTOEXEC.BAT
Defined file type created: C:\Seguridad\@b@ddon.exe
Defined file type created: C:\Seguridad\ctfmon.exe
Defined file type created: D:\Seguridad\@b@ddon.exe
Defined registry AutoStart location added or modified: machine\software\microsoft\windows nt\currentversion\winlogon\Shell = Explorer.exe, C:\Seguridad\ctfmon.exe
Defined registry AutoStart location added or modified: machine\software\microsoft\Windows\CurrentVersion\Run\index = C:\Seguridad\ctfmon.exe
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Internet Explorer\Desktop\Components\0\CurrentState = 04000040
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Internet Explorer\Desktop\Components\0\Position = 2C0000009C0000000000000064030000E2020000000000000100000001000000010000000000000000000000
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Internet Explorer\Desktop\Components\0\RestoredStateInfo = 180000009C0000000000000064030000E202000001000000
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Internet Explorer\Desktop\Components\GeneralFlags = 05000000
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Windows NT\CurrentVersion\Windows\Load = C:\Seguridad\ctfmon.exe
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe, C:\Seguridad\ctfmon.exe
Defined registry AutoStart location added or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\index = C:\Seguridad\ctfmon.exe
Detected keylogger functionality
Hide file extension for known file types: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad
Hide file from user: C:\AutoRun.inf
Hide file from user: C:\Bootfont.sys
Hide file from user: C:\RECYCLED\AUTOEXEC.BAT
Hide file from user: C:\Seguridad\@b@ddon.exe
Hide file from user: C:\Seguridad\ctfmon.exe
Hide file from user: D:\AutoRun.inf
Hide file from user: D:\Seguridad\@b@ddon.exe
Opened a service named: ShellHWDetection
Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 2
Risk evaluation result: High
Ya sólo por esta entrada: Defined registry AutoStart location added or modified: machine\software\microsoft\Windows\CurrentVersion\Run\index = C:\Seguridad\ctfmon.exe ya se sabe que es un malware, aunque hay otras cosas que son muy indicativas como: Hide file extension for known file types: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 2 Lo que hace es ocultar de la vista los archivos ocultos y ocultar la extensión para tipos de archivos conocidos. Además crea un fichero AUTORUN.INF. Vamos, que canta más que la Caballé. |
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
El análisis es como lo que he dejado, pero seguro que esto ha llevado mucho menos tiempo y revisión Pequeño fallo que he notado. user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad Eso debería de haber marcado un error en el virus y no se como es que no le ha ocurrido, pero los valores posibles para esa llave son 0 o 1  , un programa que pone eso a 0 también es marcado como peligroso? La carpeta RECYCLED también canta, la de verdad termina en R, pero en realidad es como has dicho, con las cosas que hace más claro echarle agua Me gusta Saludos |
|
|
|
« Última modificación: 4 Junio 2010, 18:58 por Novlucker »
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
El análisis es como lo que he dejado, pero seguro que esto ha llevado mucho menos tiempo y revisión Generar ese análisis ha llevado menos de un minuto. Revisar se revisa rápido porque sólo son unas pocas líneas de texto. Lo que lleva un poco de tiempo es aprender a interpretar la información.
|
|
|
|
« Última modificación: 4 Junio 2010, 19:08 por Buster_BSA »
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Pequeño fallo que he notado. user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad Eso debería de haber marcado un error en el virus y no se como es que no le ha ocurrido, pero los valores posibles para esa llave son 0 o 1 , un programa que pone eso a 0 también es marcado como peligroso? Y sobre esto? 
|
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
Si es un fallo, es un fallo del malware. BSA se limita a mostrar el valor de la clave del registro y la clave que escribe el malware es "Seguridad".
Lo que se define como peligroso es la clave, no el valor. Esas definiciones son editables. Las tienes en BSA.DAT.
Mira el manual (BSA.PDF) para ver qué es lo que se puede definir en BSA.DAT. Hay siete categorías diferentes si no recuerdo mal.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Ya, algo había leído, pero no tanto como para ponerme a editar ese archivo Sugerencias: Parsear el contenido de los AUTORUN.INF para ver el path al que apuntan Supervisar la carpeta RECYCLER. Esto último quizás es porque no me teremina de quedar clara la diferencia entre [File_Types_Created_Modified] y [Custom_Folders_Entries]. El primero busca en todas las carpetas la creación de solamente los tipos de archivos que se seleccionen, y el segundo busca todos los archivos "tocados" dentro de la carpeta? O es que solamente se monitoriza un cierto número de carpetas, y determinadas carpetas como RECYCLER hay que ponerlas en el Custom? Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
En [File_Types_Created_Modified] se definen los tipos de archivos que deben mostrarse cuando se crean o se modifican.
En [Custom_Folders_Entries] se definen los directorios que deben mostrarse cuando un fichero es escrito dentro de ellos.
Hay reglas que se cumplen para un mismo fichero. Imagina que definimos en [File_Types_Created_Modified] los ficheros tipo .SYS y en [Custom_Folders_Entries] definimos C:\Archivos de programa. Si aparece por ejemplo:
C:\Archivos de programa\Prueba\Fichero.SYS
ese fichero cumple ambas reglas: es .SYS y está en C:\Archivos de programa.
En ese caso sólo se notifica la primera coincidencia.
Las reglas están hechas para que sean lo más flexibles posibles y permitan abarcar el mayor abanico de situaciones posibles.
En cuanto a las sugerencias...
Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.
La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Claro, si he entendido entonces  La diferencia es que con un custom también recibo notificación de otras extensiones, como los bin que usa el zeus Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.
La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia. Eso es verdad, ocurre en casi todos los casos, lo comentaba desde el punto de vista de marcar como peligroso un archivo por el hecho de crear un autorun.inf, esta claro que si analizamos un archivo es porque no le tenemos confianza, pero creo que es algo que puede pesar en cuanto al nivel de riesgo. Esto lo comento porque hay algún "antivirus" para usb que se encuentra en la red, que entre otras cosas reporta como virus (muestra alerta) a un notepad.exe si lo pones como destino de un autorun.inf, es decir, un archivo legítimo te lo muestra como virus por estar ahí  Pero ya, entiendo que parte de esta tool no es la de funcionar como un AV, sino por sobre todo alertar sobres los cambios y que luego alguien pueda evaluar. Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
Efectivamente. Con un custom podemos definir otras extensiones que nos parezcan significativas, com los .BIN o un .ZIP o un .RAR.
Y sí, BSA no es un antivirus ni pretende funcionar como tal. El antivirus debe ser el propio usuario.
Piensa que si con un log hecho con el HiJackThis eres capaz de decirle a un usuario si está infectado, imagina con un análisis hecho con el BSA que es muchísimo más completo. Más fácil todavía.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Ambos dos tienen sus ventajas, lo que ocurre es que para el hijackthis no necesito el ejecutable Pero bueno, he estado revisando el .DAT y me parece realmente muy completo, así que por el momento no se me ocurren más nada. Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Buster_BSA
Desconectado
Mensajes: 60
|
Hay una diferencia significativa entre el BSA y el HiJackThis. El BSA previene y evita infecciones. El HiJackThis es para cuando piensas que ya estás infectado. Más vale prevenir que curar, así que es mejor pasar el BSA que el HiJackThis.  Gracias de todas formas por echarle un vistazo. Entiendo que es complicado encontrar cosas nuevas que añadir porque el proyecto está realmente avanzado. Saludos. |
|
|
|
|
En línea
|
|
|
|
|
 |
