Foro de elhacker.net

Hola.

Los antivirus distan mucho de ser perfectos, al igual que los anti-malwares. Muchos malwares, sobre todo los de reciente creación, son indetectables por el antivirus que tenemos instalado en nuestro ordenador.

Una solución que ahora usa mucha gente para mitigar este problema es escanear con muchos antivirus, usando la web Virus Total por ejemplo.

Esa solución tiene dos grandes problemas: el menor de ellos es que debemos disponer de una conexión a internet para poder mandar los ficheros que queramos analizar. Sin conexión no hay análisis. El mayor problema es que un malware recién creado puede no ser detectado por ninguno de los antivirus.

El problema de los malwares no se reduce sólo a la infección o corrupción del sistema operativo o a la pérdida de datos. Quizás ése sea el menor de los problemas ya que las imágenes de disco o software del tipo Deep Freeze pueden prevenir esos problemas. El robo de información (documentos, claves bancarias, etc) es quizás el mayor reto a la hora de prevenir el malware. La solución típica a este problema suelen ser los firewalls y los HIPS.

Existe otro método para la detección de malwares y es el análisis del comportamiento. Se trata de ver qué acciones realiza una aplicación y utilizando unos parámetros determinar si esas acciones son típicas de los malwares. El clásico ejemplo de este tipo de solución es el Norman Sandbox Analyzer que es una solución orientada a profesionales. Orientado a "home users" existen aplicaciones pero la mayoría de ellas son on-line. Por ejemplo ThreatExpert, Anubis, JoeBox, CWSandbox, ...

Personalmente este método de detección de malwares me atrae porque es un método genérico. Donde los antivirus fallan este método puede triunfar. El problema es que hasta ahora no había ninguna solución personal para los usuarios de a pie. El Norman Sandbox Analyzer está fuera del alcance de la mayoría de los mortales (una licencia por un año cuesta más de 10.000 euros). Las soluciones on-line requieren de una conexión a Internet además de que nosotros realmente no poseemos el software.

Por eso decidí crear un analizador de malware. Bueno, en realidad es un analizador de software que dictamina si el comportamiento es el de un malware o no.

El resultado se llama Buster Sandbox Analyzer.

El desarrollo de la herramienta de análisis se pudo seguir en el foro de Sandboxie pero a día de hoy la web ha desaparecido. De todas formas se puede seguir consultando a través de la web archive.org:

https://web.archive.org/web/20160305005414/http://forums.sandboxie.com/phpBB3/viewtopic.php?f=22&t=6557

Muchas dudas sobre el manejo de Buster Sandbox Analyzer se pueden resolver ahí.

A día de hoy la web donde continúa el desarrollo y se explican los cambios y las nuevas funciones es:

https://www.wilderssecurity.com/threads/buster-sandbox-analyzer.428538/

La web del Buster Sandbox Analyzer es:

http://bsa.isoftware.nl

La página de descarga es:

http://bsa.isoftware.nl/framea.htm

El manual incluido con el programa no está actualizado. Ha habido cambios en el programa que hacen que la configuración sea diferente. El principal cambio es que antes se añadía esta línea en el fichero Sandboxie.ini:

OpenWinClass=TFormBSA

y ahora hay que añadir:

OpenPipePath=\Device\NamedPipe\LogAPI

La versión de Sandboxie que hay que utilizar se puede descargar desde aquí:

https://github.com/sandboxie-plus/Sandboxie

Recomiendo usar la versión "Classic":

https://github.com/sandboxie-plus/Sandboxie/releases/download/v0.5.3b/SandboxieInstall32-v5.45.2.exe

https://github.com/sandboxie-plus/Sandboxie/releases/download/v0.5.3b/SandboxieInstall64-v5.45.2.exe

Si alguien tiene alguna pregunta adelante, doy soporte.

El que lo pruebe que me cuente qué le parece.

Saludos.

Yo lo hago a mano :D

Creo que en algún momento ya me había topado con esta tool e incluso la había descargado, pero no había llegado a probarla.

Como podrás imaginar aquí somos un poco paranoicos con los archivos que cuelgan usuarios no "conocidos", así que lo primero que he hecho es verificar que fueras quién dices ser y probar la tool, yyyyy ... puedo ver que es un proyecto que llevas desde hace varios meses y cumple muy bien con su objetivo, incluso con la configuración básica :P

Una herramienta más para tener a mano ;D

Saludos

Hacerlo a mano implica tener cierta experiencia con el análisis de malwares, algo de lo que carece la mayoría de usuarios. BSA pretende acercar el análisis de malwares a personas sin experiencia ni conocimientos previos.

Yo creo que merece la pena invertir algo de tiempo en aprender a utilizarlo. Es realmente potente y llega donde normalmente los antivirus y antimalware tradicionales no llegan: detectar amenazas desconocidas.


Hacéis las cosas como hay que hacerlas. Siempre hay que desconfiar del software que proviene de fuentes desconocidas. Incluso con software de fuentes conocidas te puedes llevar sorpresas. Hace unos meses se detectó un virus que infectaba una librería de Delphi. Cuando el programador compilaba su proyecto el virus automáticamente era compilado junto con el programa. En sitios confiables como Tucows había colgados programas infectados.

Efectivamente ya llevo unos meses con el proyecto y en este momento se encuentra muy avanzado. Ya casi no se me ocurren cosas que añadir. Si tienes alguna sugerencia (comportamientos sospechosos que deberían ser tenidos en cuenta) te la agradecería.

En la siguiente versión añadiré detección de "screenshots" ya que es una característica de los troyanos bancarios.

Saludos.

El Induc! la noticia sobre ese virus apareció en una cantidad de medio ;D


Es lo que tiene, muchas veces no se puede pedir más fuera de a lo mejor pulir algún error que pueda haber.
A ver si luego le puedo meter algún "bicho" conocido, como este de aquí (https://foro.elhacker.net/analisis_y_diseno_de_malware/dddonexe-t294676.0.html), por si se me pudiese ocurrir algo :D

Saludos

El análisis del bicho que indicas es éste:


Ya sólo por esta entrada:

Defined registry AutoStart location added or modified: machine\software\microsoft\Windows\CurrentVersion\Run\index = C:\Seguridad\ctfmon.exe

ya se sabe que es un malware, aunque hay otras cosas que son muy indicativas como:

Hide file extension for known file types: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidefileext = seguridad
Show hidden files and folders: user\current\software\microsoft\windows\currentversion\explorer\advanced\hidden = 2

Lo que hace es ocultar de la vista los archivos ocultos y ocultar la extensión para tipos de archivos conocidos.

Además crea un fichero AUTORUN.INF.

Vamos, que canta más que la Caballé.  ;D

El análisis es como lo que he dejado, pero seguro que esto ha llevado mucho menos tiempo y revisión :D

Pequeño fallo que he notado.

Eso debería de haber marcado un error en el virus y no se como es que no le ha ocurrido, pero los valores posibles para esa llave son 0 o 1 :xD, un programa que pone eso a 0 también es marcado como peligroso?
La carpeta RECYCLED también canta, la de verdad termina en R, pero en realidad es como has dicho, con las cosas que hace más claro echarle agua

Me gusta :D

Saludos

Generar ese análisis ha llevado menos de un minuto.

Revisar se revisa rápido porque sólo son unas pocas líneas de texto. Lo que lleva un poco de tiempo es aprender a interpretar la información.

Y sobre esto? :rolleyes:

Si es un fallo, es un fallo del malware. BSA se limita a mostrar el valor de la clave del registro y la clave que escribe el malware es "Seguridad".

Lo que se define como peligroso es la clave, no el valor. Esas definiciones son editables. Las tienes en BSA.DAT.

Mira el manual (BSA.PDF) para ver qué es lo que se puede definir en BSA.DAT. Hay siete categorías diferentes si no recuerdo mal.

Ya, algo había leído, pero no tanto como para ponerme a editar ese archivo :P

Sugerencias:
Parsear el contenido de los AUTORUN.INF para ver el path al que apuntan
Supervisar la carpeta RECYCLER. Esto último quizás es porque no me teremina de quedar clara la diferencia entre [File_Types_Created_Modified] y [Custom_Folders_Entries].

El primero busca en todas las carpetas la creación de solamente los tipos de archivos que se seleccionen, y el segundo busca todos los archivos "tocados" dentro de la carpeta? O es que solamente se monitoriza un cierto número de carpetas, y determinadas carpetas como RECYCLER hay que ponerlas en el Custom?

Saludos

En [File_Types_Created_Modified] se definen los tipos de archivos que deben mostrarse cuando se crean o se modifican.

En [Custom_Folders_Entries] se definen los directorios que deben mostrarse cuando un fichero es escrito dentro de ellos.

Hay reglas que se cumplen para un mismo fichero. Imagina que definimos en [File_Types_Created_Modified] los ficheros tipo .SYS y en [Custom_Folders_Entries] definimos C:\Archivos de programa. Si aparece por ejemplo:

C:\Archivos de programa\Prueba\Fichero.SYS

ese fichero cumple ambas reglas: es .SYS y está en C:\Archivos de programa.

En ese caso sólo se notifica la primera coincidencia.

Las reglas están hechas para que sean lo más flexibles posibles y permitan abarcar el mayor abanico de situaciones posibles.

En cuanto a las sugerencias...

Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.

La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.

Claro, si he entendido entonces :)
La diferencia es que con un custom también recibo notificación de otras extensiones, como los bin que usa el zeus :P


Eso es verdad, ocurre en casi todos los casos, lo comentaba desde el punto de vista de marcar como peligroso un archivo por el hecho de crear un autorun.inf, esta claro que si analizamos un archivo es porque no le tenemos confianza, pero creo que es algo que puede pesar en cuanto al nivel de riesgo.

Esto lo comento porque hay algún "antivirus" para usb que se encuentra en la red, que entre otras cosas reporta como virus (muestra alerta) a un notepad.exe si lo pones como destino de un autorun.inf, es decir, un archivo legítimo te lo muestra como virus por estar ahí :-\

Pero ya, entiendo que parte de esta tool no es la de funcionar como un AV, sino por sobre todo alertar sobres los cambios y que luego alguien pueda evaluar.

Saludos

Efectivamente. Con un custom podemos definir otras extensiones que nos parezcan significativas, com los .BIN o un .ZIP o un .RAR.

Y sí, BSA no es un antivirus ni pretende funcionar como tal. El antivirus debe ser el propio usuario.

Piensa que si con un log hecho con el HiJackThis eres capaz de decirle a un usuario si está infectado, imagina con un análisis hecho con el BSA que es muchísimo más completo. Más fácil todavía.

Ambos dos tienen sus ventajas, lo que ocurre es que para el hijackthis no necesito el ejecutable :P

Pero bueno, he estado revisando el .DAT y me parece realmente muy completo, así que por el momento no se me ocurren más nada.

Saludos

Hay una diferencia significativa entre el BSA y el HiJackThis. El BSA previene y evita infecciones. El HiJackThis es para cuando piensas que ya estás infectado. Más vale prevenir que curar, así que es mejor pasar el BSA que el HiJackThis.  ;)

Gracias de todas formas por echarle un vistazo. Entiendo que es complicado encontrar cosas nuevas que añadir porque el proyecto está realmente avanzado.

Saludos.

La tenia en la lista de pendientes, pero me temo que voy a tener que hacerla subir algunos puestos para poder examinarla lo antes posible. Enhorabuena!!

Saludos

Lo se, lo que ocurre es que para eso deberías de usar el ordenador con el sandboxie, y la mayoría de los que vienen al foro ya se han infectado y ya es tarde, solo queda pedirles que intenten subir una muestra :xD

Saludos

El Sandboxie (http://www.sandboxie.com) es una herramienta que todo el mundo debería usar pero la realidad es que la mayoría de la gente no lo conoce.  :-\

Para usar el BSA es imprescindible tener el Sandboxie instalado y eso echa para atrás a mucha gente pero teniendo en cuenta que no se nota que lo tienes instalado eso no debería ser obstáculo.

También asusta un poco que parece muy complejo porque tiene muchas opciones, pero para hacer análisis de malware no se necesita mas que ejecutar el fichero sospechoso. Apenas hay que configurar nada.

Estoy pensando en hacer unos video tutoriales cuando termine de añadir lo que tengo pendiente. Quizás así más gente se anime a usarlo.

No estaría mal, más vale que sobre y no que falte :P

Otra cosa que había olvidado comentar, si abres el BSA tal cual viene en el archivo comprimido da problemas con los archivos de pcap, te dice que falta este o aquel otro.

Ayer cuando me paso eso directamente me instale winpcap que lo tenía a mano, pero ahora me doy cuenta que viene dentro del rar, y que basta con mover todos los archivos del directorio PCAP para afuera (al directorio principal del BSA), quizás podrías hacer algo con eso, por lo mismo que algún usuario se "asusta" :-\

Saludos

Dentro del BSA.RAR hay un fichero llamado README.TXT (LEEME.TXT) donde se explica que el BSA necesita el WinPCap para funcionar. En caso de no querer instalarlo por los motivos que sean se tienen que copiar dos ficheros (que están en el directorio PCAP) al directorio System32 de Windows.

Copiar los dos ficheros simplemente evita el error y permite que el BSA se ejecute, pero la capacidad de capturar los paquetes de la red no estaría disponible. Esto provoca que características importantes para el analisis no funcionen. Por lo tanto instalar el WinPCap, aunque no es imprescindible, es altamente recomendable.

Otro problema es que la gente se pone a jugar con los programas sin antes leer la documentación. Luego me llega gente preguntando: oye, que cuando ejecuto el BSA me da un error y me dice que falta el fichero tal o el fichero cual...

¡RTFM!  ;D

Muchas gracias, pero mejor espera a dármelas para cuando lo hayas probado.  ;)

Si tienes cualquier duda, pregunta, pero antes lee bien el manual. Fíjate sobre todo en las notas que van en rojo.

traxtor, RTFM!
No te pase como a mi :xD ... reconozco no haber leído el 80% de las cosas, pero quién las lee? :xD

Buster, lo que si no es necesario es meter esos dos archivos que comentas en System32, con que vengan dentro del directorio de BSA alcanza :P

Saludos

Lo sé. Cuando un programa intenta cargar una DLL primero busca en el directorio de la aplicación y luego en la variable de sistema %PATH%.

El caso es que me temo que si pongo los ficheros en el directorio del BSA, mucha gente no instalará el WinPcap. Si no los pongo quizás lo instalen.  ;)

Por eso lo tengo puesto de esa forma. Es una forma de cribar a cierto tipo de usuarios.

Usuarios como yo :xD
Lo dicho, excelente tool, ahora solo queda leer el manual :xD

Saludos

Hombre, yo si lo intento, pero he de reconocer que el 90% de las veces suelo confiar mas en mi "intuicion"  ;D


Prometo al menos intentarlo  ;)

Saludos

Veo que el tema no se ha movido más.  :-(

Ahora la dirección de la página que aloja el programa es:

http://bsa.isoftware.nl/

He añadido multitud de nuevas funciones y opciones, entre ellas la posibilidad de incorporar a los reportes las detecciones obtenidas del portal Virus Total. ¿Qué quiere decir esto? Pues que el Buster Sandbox Analyzer, además de ofrecer un análisis del comportamiento de los programas, también ofrece detección mediante antivirus.

Esa combinación de tecnologías hace del Buster Sandbox Analyzer una potente herramienta de detección.

Si alguien tiene alguna duda que pregunte.

Es que te toca moverlo :P

Bien por las nuevas mejoras, pero eso si, no puedo dejar de remarcar que Virustotal no asegura la detección de un ejecutable maligno, ya que entre otras cosas te pierdes el analisis heuristico :)

Saludos

Bueno, mejoras notábles no diré ya que por añadir se puede añadir cualquier cosa pero te recomiendo dos cosas:

- Podrías ponerle un icóno mas bonito, no quiero decir mas profesional pero algo más personalizado que marque la marca de tu herramienta. Para que me entiendas, que la gente vea el icono y la asocie a tu herramienta.

- Es secundario pero podrías mejorar la web de la herramienta. No soy el mas indicado para hablar por mis webs pero seguro que se puede mejorar y darle mas vida.

De momento sólo me interesa mejorar las funcionalidades del programa, no su estética. De todas formas gracias por los consejos.

El icono ya ha sido cambiado hace algunas versiones.

La web probablemente la cambie en breve.

Eso es muy bonito pero tengo 2 comentarios:
1- Yo lo hago a mano... Cosa que no siempre sale bien...

2- Mi avast 7 ya trae un escudo de comportamiento y de script y aparte un sandbox. Que mas puedo pedir?

Pero tengo una duda: Es compatible con w7? y si lo es es compatible con avast? Siento curiosidad de probar-lo

¿Exactamente qué es lo que haces a mano?

Buster Sandbox Analyzer es una herramienta de análisis de comportamiento. No es ni un antivirus ni software de protección.

Es compatible con Windows 7 y es compatible con Avast mientras el Avast no interfiera con los análisis.

Utilizar el sandboxie del avast pensando que estas protegido es una arma de doble filo...para que un archivo se ejecute en el sandboxie lo has de hacer tu, o en tal caso a veces te pregunta si lo quieres ejecutar en el sandboxie...

Lo digo porque un dia se te va a olvidar, o no se ejecutará por lo que sea en el sandboxie, lo mejor es utilizar uno que te cree la carpeta aislada, copiar la muestra allí y listo.

No es que me fie del sand box (Ni mucho menos) Lo que quiero decir es que avast incluye un escudo de comportamiento y un sandbox. Mi pregunta seria: Lo que hace tu programa lo hace avast por mi?

No, no lo hace.

Por cierto, sigo sin saber qué haces a mano.

Acabo de lanzar la versión 1.57.

Novedades:

+ Añadida una función para extraer las APIs usadas de los ficheros volcados
+ Añadida una función para extraer las cadenas de los ficheros volcados
+ Añadido un nuevo comportamiento malware
+ Corregido un error

He estado leyendo el About y tuviste apoyo de gente muy conocida en este campo, me alegro.

Tienes provisto incluir la traducción al español?

Aunque todavía esta en proyecto y al final no se si se lanzará, incluimos tu herramienta en un AIO de análisis de Malware (All in one - Todo en uno). Si se llevara a cabo tenemos tu permiso ¿no?...

Saludos, sigue así buena tool.

El apoyo más directo que he tenido ha sido el del autor del Sandboxie, Ronen Tzur (tzuk en los foros de Sandboxie).

No sé a qué gente conocida te refieres, pero directamente gente como Mark Russinovich, que sería otro gran conocido, no me ha ayudado.

De la gente que aparece en los créditos uso sus herramientas y por eso los incluyo en la lista de créditos, pero ya digo que directamente no me han ayudado.

La traducción al español ya está incluida, junto con la traducción al ruso y al portugués de Brasil. En breve espero poder disponer de una traducción al alemán.

Sí, no tengo problema en que se incluya en un AIO. La herramienta es freeware y puede ser libremente distribuida mientras no se modifique el paquete original.

Gracias.

Disponible la versión 1.58.

Se han añadido nuevos comportamientos malware.
Se ha añadido una función para analizar automáticamente un fichero desde el Explorador de Windows
Se ha añadido una función para generar información adicional cuando se analizan ficheros ejecutables
Se ha añadido una opción para borrar el fichero analizado desde la función de "Manejar Fichero Procesado".
Se ha actualizado LOG_API
Se ha actualizado el Exeinfo a la versión 0.0.3.0
Se han corregido algunos fallos

Disponible la versión 1.59 del Buster Sandbox Analyzer.

Esta versión corrige algunos fallos importantes.

Hola Buster, no lo decía en el sentido de que te hubiesen ayudado o hecho el trabajo, me refería a lo que has comentado aunque parece me quedó diferente, bueno eso.

Probando...

Una cosa, haciendo pruebas con un trojan (spynet) aunque un pelín viejo salta la sandbox e infecta la máquina anfitrión, estoy haciendo pruebas con tu tool y otros troyanos a ver como se comporta.

Saludos.

Me cuesta creer eso, la verdad.

A ver si volvemos a tener un problema de comunicación...

¿Estás diciendo que el troyano se salta la protección del Sandboxie y logra escribir en el disco fuera de la carpeta sandbox?

Si es así te agradecería que subieras el troyano a algún sitio para poder descargarlo y comprobarlo por mí mismo, gracias.

Lo probé en una virtual con la última versión que encontré del Spy-net, si que decir que la sandbox no estaba actualizada, no utilizo la versión full, solo la de prueba.

Voy a probarlo de nuevo, y dejaré el server con la misma configuración y la sandbox actualizada, de todas formas te subo el server y lo pruebas tu mismo.

Saludos.

Ok, pásame el enlace y lo miro.

¿Exactamente qué forma tiene de infectar la máquina anfitrión? ¿Copia algún archivo fuera de la sandbox? Si es así, ¿qué fichero(s) y dónde se guardan?

Mil disculpas, sería que no estaba actualizada, lo probé en un sistema anfitrión y como bien dices no deja instalarlo:

(http://i398.photobucket.com/albums/pp69/minimal34/elhacker/spynet.jpg)

Pero en serio que hizo la conexion el servidor sin problemas, ahora no ya quedó aclarado, al aceptar se elimina la conexión...

Gracias por la correción, de nuevo saludos.

Creo que como vulgarmente se suele decir, te estás armando la picha un lío.

¿Tú conoces qué tipo de protección ofrece Sandboxie? Por lo que dices intuyo que no lo tienes muy claro.

Creo saber hasta cierto punto el uso de Sandboxie, probé ejecutar el server aunque obvio no lo oculté/modifiqué/adjunté con nada, prueba directa. De esta forma lo hice la vez anterior (no hace mucho tiempo, que digamos) y como te comenté saltó la sandbox y ese aviso no salía tampoco.

Te comento la forma de como lo hice y si sería de otra forma corrigeme, ya que estamos me gustaría saber mas cosas. 

Desde el menu contextual "Ejecutar aislado en una sandbox", no tiene mucho misterio, pero bueno.

Me volveré a leer la guia de nuevo, a ver que paso por alto, o en que me equivoco.

Saludos.

Te equivocas en que Sandboxie virtualiza la escritura a disco y tú estás hablando de conexiones.

Por lo tanto en relación al Sandboxie, si hablas de "saltar la sandbox", te tienes que referir a que escribe fuera de la carpeta sandbox. No tiene sentido hablar de saltarse la sandbox referido a conexiones.

¿Lo entiendes ahora?

r32: ¿Lo entiendes?

Ha salido publicado un artículo sobre el Buster Sandbox Analyze. Le podéis echar un vistazo en:

http://holisticinfosec.org/toolsmith/pdf/may2012.pdf

Disponible la versión 1.60 del Buster Sandbox Analyzer.

Cambios:

+ Añadida una función para analizar URLs
+ Añadida una opción en la función "SQL > Report Manager" que permite importar registros de bases de datos externas
+ Añadido soporte para reportes en formato JSON
+ Añadida una función para impedir la activación del salvapantallas mientras se está realizando un análsis
+ LOG_API actualizado
+ Corregidos varios fallos

Disponible la versión 1.62 del Buster Sandbox Analyzer.

Disponible la versión 1.63 del Buster Sandbox Analyzer: se mejoraron funciones ya existentes y se corrigieron algunos fallos en el código.

Esta versión ha sido probada con casi 30.000 malwares y la estabilidad es notable.

Disponible la versión 1.64 del Buster Sandbox Analyzer.

El primer vistazo a la aplicación no me ha convencido mucho, pero viendo el log que hay en la primera pagina me ha convencido totalmente! así que esta misma tarde lo descargo en casa para empezar a trastear con el.

Eso si, entrar en la web oficial me ha devuelto al pasado xD un consejo hermano! actualiza un poco el estilo de la web, parece de los 90 :p pero por lo demás, todo ok.

Dices que todavía no lo descargaste. Entonces, ¿cómo le echaste un primer vistazo sin haberlo descargado y probado?

¿Y exactamente qué es lo que viste y que no te convenció?


Si te refieres a los logs que aparecen aquí:

http://bsa.isoftware.nl/frame9.htm

te diré que, aunque básicamente siguen siendo los mismos logs, ahora probablemente contendrían más información.


El diseño nunca ha sido mi fuerte pero sí que me gustaría cambiar la web. Supongo que debería quitar toda la información técnica y dejar un diseño más estético.

En cuanto hayas probado la aplicación deja tus comentarios. Si tienes cualquier duda primero lee el manual, y si es algo relacionado con la instalación o la configuración échale un vistazo al video que puse en youtube. Si después de eso todavía sigues con dudas puedes plantearlas aquí y te las resuelvo.

twoz: ¿ya le has echado un vistazo?

Con primer vistazo me refería a la impresión al ver la unica imagen que hay aquí http://sandboxie.com/phpbb/viewtopic.php?t=6557
y no, la verdad es que no me lo he bajado aún, no voy a mentir, como no lo apunté se me olvidó hacerlo!! xD pero ya estoy bajando.

Cuando pruebe edito (si me acuerdo claro... xD)

Lo de los logs me refería a este mismo hilo, que vi que eran justamente información que me parece muy útil y con eso ya me convenció la aplicación, aun a falta de probarla.
Y el diseño, pues es complicado, pero incluso puedes mirarte algún cms sencillito y tirar con eso, así no tienes que diseñar, por lo demás el "problema" es el uso de frames y que es todo muy plano, pero bueno, algunos hemos nacido sin saber diseñar, y por desgracia así vamos a seguir jajaja te comprendo!

Tienes un video donde puedes ver la instalación y la configuración del software necesario:

http://www.youtube.com/watch?feature=player_embedded&v=MXASXoq5akc

Disponible la versión 1.66 del Buster Sandbox Analyzer.

Cambios:

+ Añadidos nuevos comportamientos malware
+ Mejorada la función que vuelca procesos
+ Actualización de BSA.DAT
+ Actualización de LOG_API
+ Corregidos varios fallos

Hacía falta un video así para los flojos que no leen el manual y nunca han usado sandboxie.

Para mí es muy buena aplicación y estoy de acuerdo en que nada que ver con hijackthis

Disponible la versión 1.67 de Buster Sandbox Analyzer.

Cambios:

+ Mejorado el soporte de la sección "[File_Strings]" en BSA.DAT
+ Añadida la sección "[Custom_LogAPI_Entries]" en BSA.DAT
+ Añadida el soporte para comodines en RegistryExclude.TXT
+ Añadido soporte para la utilidad HexDive de Hexacorn
+ Añadido nuevos comportamientos malware
+ Incluído nuevos comportamientos malware en "Ratios de Evaluación de Riesgo"
+ Añadido soporte de LOG_API para aplicaciones de 64-bit

Hola Buster, me gustaría saber si hay alguna guia o manual donde aparezca una lista con todas las acciones sospechosas de malware que analiza tu software y los motivos que llevan a activar o no cada una de ellas.

Estuve mirando en tu pagina y el manual, pero no vi lo que busco, tal vez necesite releerlo más a fondo.

Lo pregunto porque analice software creado por mi (un sencillo script en python) y me saltaba la alerta de keylogger y alguna otra más que ahora por desgracia no recuerdo, el script solo realiza una lectura de un parametro via teclado y devuelve algo por pantalla, como digo, muy simple, por lo que me sorprende que detecte eso.

Un saludo!

Vas a Utilities > Malware Analyzer > Risk Evaluating Ratings

Ahí están listadas todas las acciones sospechosas. Si activas los "hint" (Settings > Show Hints) podrás ver una descripción.

Si quieres una explicación técnica de alguna acción en concreto me lo dices.


En el manual no viene.


La alerta de keylogger es algo que casi siempre hay que descartar. De hecho he estado tentado en varias ocasiones de eliminar esa alerta o de al menos cambiar para que no salte tan fácilmente.

El problema está en que una API que se puede usar para crear un keylogger es muy común y casi todas las aplicaciones la usan.

El dilema está entre si debería eliminar la API para evitar esa alerta o si debería dejarla porque es más importante que si un keylogger la usa el programa saque la alerta.

Estoy empezando a pensar que debería eliminar la API.

Saludos.

Gracias por la respuesta Buster! le echare un ojo a lo de los ratings con tranquilidad a ver si me entero de ello.

Sobre el tema de los keyloggers, voy a aventurarme a decir algo, aunque al no saber de esto lo mismo es una chorrada xD, podrían mirarse (lo que no se es como) patrones que sigan todos los keyloggers aparte del uso de ese API, para así poder crear una regla que se ajuste más al comportamiento de los loggers y no de cualquier software que utilice el API en concreto.

(yo probé con mi script porque me parecía raro ver como saltaba el keylogger en aplicaciones de confianza como geany, komodo ide y alguna otra)

Las reglas "per se" ya existen.

Los patrones típicos que siguen los keyloggers son, además de capturar las pulsaciones obviamente:

- Escribir en disco lo que capturan
- Mandar por internet la información capturada

Por lo tanto la forma de confirmar que se trata de un keylogger sería:

- Chequear los ficheros que se han escrito en disco y mirar si contienen cosas que hayas escrito. Un problema podría ser que la información estuviera cifrada.

- Chequear el tráfico de red de la misma forma que harías con los ficheros escritos en disco.

El asunto tiene cierta ironía: el tema de la detección de los keyloggers es complejo debido a la sencillez con la que se puede programar uno. Y digo lo de la ironía porque cuanto más complejo es un malware, más acciones realiza, y cuantas más acciones realiza, más fácil resulta concluir que es un malware.

Released Buster Sandbox Analyzer 1.68.

Changes:

+ Added support to analyze URLs from command line
+ Added support for FakeNet
+ Updated ssdeep tool to version 2.8
+ Updated BSA.DAT
+ Updated LOG_API
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.69.

Changes:

+ Added a feature to generate statistics
+ Updated “Report Manager” feature
+ Updated LOG_API
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.70.

Changes:

+ Added new malware behaviours
+ Improved “Additional Information” feature
+ Included new malware behaviours at “Risk Evaluation Ratings”
+ Added deutsch language translation (thanks to AV-Comparatives)
+ Updated BSA.DAT
+ Updated LOG_API
+ Updated HexDive
+ Updated SIGNSRCH.SIG

¿Has conseguido hacerlo funcionar?

Released Buster Sandbox Analyzer 1.71.

Changes:

+ Added new malware behaviours
+ Added BSA_USER.DAT feature
+ Improved “Dump Executable Processes” feature
+ Included new malware behaviours at “Risk Evaluation Ratings”
+ Updated BSA.DAT
+ Updated LOG_API
+ Updated Exeinfo
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.72.

Changes:

+ Added wildcard support for FileExclude.TXT and APIExclude.TXT
+ Updated Exeinfo
+ Fixed several bugs

¿Nadie tiene nada que comentar sobre el programa?

Released Buster Sandbox Analyzer 1.73.

Changes:

+ Added “Launch Internet Explorer” feature
+ Added new malware behaviours
+ Improved “Report Manager” feature
+ Updated BSA.DAT
+ Updated LOG_API
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.74.

Changes:

+ Added functionalities to locate bugs
+ Added analysis duration information to reports
+ Removed the option to include version information
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.75.

Changes:

+ Updated HexDive to version 0.4
+ Removed functionalities to locate bugs
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.76.

Changes:

+ Added a feature to check for API hooks
+ Added “Launch Custom Applications” feature
+ Added new malware behaviours
+ Included new malware behaviours at “Risk Evaluation Ratings”
+ Removed “Launch Internet Explorer” and “Launch Windows Explorer” features
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.77.

Changes:

+ Fixed several bugs

Released Buster Sandbox Analyzer 1.78.

Changes:

+ Added a feature to specify report folder in automatic mode
+ Improved “URL Analyzer” feature
+ Improved command line feature
+ Removed “Save Settings on Exit” feature
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.79.

Changes:

+ Added “Edit BSA_USER.DAT” feature
+ Improved typical error problem checkings
+ Udated BSA.DAT
+ Updated LOG_API
+ Updated malware behaviors
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.80.

Changes:

+ Included new malware behaviours at “Risk Evaluation Ratings”
+ Updated “URL Analyzer” feature
+ Udated BSA.DAT
+ Updated LOG_API
+ Updated malware behaviors
+ Updated HexDive
+ Fixed several bugs

Released Buster Sandbox Analyzer 1.81.

Changes:

+ Updated LOG_API
+ Updated “URL Analyzer” feature
+ Updated “Check for Updates” feature
+ Fixed several bugs

Version 1.82

Released on 27 November 2012


Added a feature to analyze Android applications
Added new malware behaviours
Included new malware behaviours at “Risk Evaluation Ratings”
Improved “Run Custom Command On Finish” feature
Updated LOG_API
Updated HexDive to version 0.6
Updated ExeInfo to version 0.0.3.2
Fixed several bugs




Version 1.83

Released on 02 December 2012


Added new malware behaviours
Added the possibility of including comments in BSA.DAT
Included new malware behaviours at “Risk Evaluation Ratings”
Optimized file string search
Updated BSA.DAT
Fixed several bugs



Version 1.84

Released on 16 December 2012


Added “[Custom_File_Entries]” section to BSA.DAT
Added a feature to extract files from PCap files in automatic mode
Added new malware behaviors
Included new malware behaviours at “Risk Evaluation Ratings”
GUI has been redesigned
Updated BSA.DAT
Updated LOG_API
Fixed several bugs



Version 1.85

Released on 04 January 2013


Added a feature to run silently setups if possible in automatic mode
Added a feature to view malware analysis on finish in manual mode
Added a feature to save connection information to CSV file in “Pcap Explorer” feature
Added a feature to refresh BSA window
Removed several program dependencies (REG.EXE, STRINGS.EXE, …)
DAT files move to “DATA” folder
Improved “File Strings” feature
Updated BSA.DAT
Updated LOG_API
Fixed several bugs

El desarrollo de "Buster Sandbox Analyzer" estuvo parado durante mucho tiempo debido a problemas con Sandboxie.

Hace unos meses Sophos, que era la compañía propietaria del Sandboxie, paró el desarrolló y donó el código fuente del programa de forma pública para que quien quisiera siguiera dándole soporte.

En principio había dos programadores que iban a continuar con el desarrollo de Sandboxie pero uno de ellos desapareció y no se ha vuelto a saber nada más de él. Afortunadamente el otro desarrollador es muy activo y está actualizando el Sandboxie prácticamente a diario.

La página web del desarrollador es:

https://xanasoft.com/sandboxie-plus/

Y las nuevas versiones se pueden encontrar en github:

https://github.com/sandboxie-plus/Sandboxie

Con ayuda de DavidXanatos se han corregido los problemas de incompatibilidad entre "Buster Sandbox Analyzer" y Sandboxie. Ahora mi herramienta de análisis vuelve a funcionar correctamente.

Y no sólo eso, gracias a la colaboración con el nuevo desarrollador de Sandboxie, he podido mejorar la detección del comportamiento sospechoso en algunos tipos de malware.

Podéis descargar la última versión (1.90 Beta 4) desde la página del programa:

http://bsa.isoftware.nl/

Hay nuevas funciones que no están documentadas en la última versión del manual y la configuración de la herramienta ha cambiado. Para conocer cuáles son los cambios y cómo funcionan tenéis que pasaros por este hilo:

https://www.wilderssecurity.com/threads/buster-sandbox-analyzer.428538/

¡Saludos y feliz año!

Gracias por haber compilado una nueva versión del buster sandbox....
Se incluirá en le AIO de la comunidad en la próxima actualización.

Saludos.

Vale, ¡muchas gracias!

Quiero recalcar que la configuración de mi herramienta ha cambiado y que la que aparece en la documentación ya no es válida. Antes para pasar información entre Sandboxie y Buster Sandbox Analyzer había que editar la configuración del Sandboxie y añadir esta línea en la sandbox en la que se estuviera usando BSA:

OpenWinClass=TFormBSA

En la nueva versión esa línea cambia y hay que usar:

OpenPipePath=\Device\NamedPipe\LogAPI

Todo está explicado aquí:

https://www.wilderssecurity.com/threads/buster-sandbox-analyzer.428538/

guau, menudo viaje en el tiempo. De 2013 a 2020 xD

Me trajo buenos recuerdos. Puedes editar el primer mensaje si lo deseas, al ser el creador, no hay límite te de tiempo para editar un mensaje antiguo y añadir la nueva información.

y veo que otra herramienta creada hace unos añitos y publicada en el foro, también se mantiene activa:

4n4lDetector
4n4lDetector v1.6
http://www.enelpc.com/p/4n4ldetector.html

Con la introducción del "PatchGuard" en Windows, Sandboxie comenzó a sufrir transformaciones en su arquitectura interna. Entre las cosas que cambiaron estaba la rutina de inyección de código. La nueva rutina tenía fallos y a pesar de que reporté los problemas a Invincea (la empresa que adquirió Sandboxie de su autor original), nunca llegaron a solucionar el problema.

Invincea fue el dueño de Sandboxie durante años hasta que Sophos compró Invincea. Sophos tampoco solucionó ni ése ni otros problemas. Así que durante muchos años los bugs en la rutina de inyección impidieron que Buster Sandbox Analyzer funcionase correctamente. Lo gracioso es que DavidXanatos, la persona que lleva ahora el único desarrollo público de Sandboxie, no tardó más de un par de días en dar con el problema y solucionarlo.

Así que durante todos estos años la herramienta no ha funcionado correctamente por algo que era relativamente sencillo de solucionar.  :-\

Luego repasaré lo que hay en el primer post y actualizaré lo más importante.

Ya está disponible la versión 1.90 Beta 5 del Buster Sandbox Analyzer.

El único cambio es la versión mínima requerida de Sandboxie. Desde la versión 1.90 Beta 5 se necesita como mínimo la versión 5.46.0 de Sandboxie.

https://github.com/sandboxie-plus/Sandboxie/releases/tag/v0.5.4

La versión 5.46.0 soluciona algunos fallos de seguridad.

Disponible la versión 1.92 del Buster Sandbox Analyzer.

http://bsa.isoftware.nl/framea.htm

Esta versión es compatible con SandBoxie Plus y las versiones mínimas pasan a ser la 5.51.3 de SandBoxie Classic y la 0.9.3 de SandBoxie Plus.

https://github.com/sandboxie-plus/Sandboxie/releases/tag/0.9.3