Sigo buscando ayuda con el tema de los comportamientos sospechosos. Si alguien puede echar una mano se lo agradecería.

Disponible la versión 1.92 del Buster Sandbox Analyzer.

http://bsa.isoftware.nl/framea.htm

Esta versión es compatible con SandBoxie Plus y las versiones mínimas pasan a ser la 5.51.3 de SandBoxie Classic y la 0.9.3 de SandBoxie Plus.

https://github.com/sandboxie-plus/Sandboxie/releases/tag/0.9.3

La respuesta es muy sencilla: para prevenir ese y muchos otros tipos de ataque lo único que tienes que hacer es descargar software de sitios confiables y no ejecutar programas de origen desconocido.

Si te ves en la situación de tener que ejecutar un software del cual no tienes la seguridad de que es confiable puedes hacerlo de varias formas. Yo te recomiendo estas dos:

- Ejecutar el programa dentro de una máquina virtual.

- Ejecutar el programa dentro de una sandbox como Sandboxie.

De hecho gracias a mi colaboración con el autor original del Sandboxie, Ronen Tzur, este programa cuenta con protección contra bombas fork. Lo que tienes que hacer para activar la protección es añadir estas dos líneas a la sandbox donde vayas a probar el software:

ProcessLimit1=20
ProcessLimit1=30

Extraído de la documentación del programa:

ProcessLimit1 and ProcessLimit2 are sandbox settings in Sandboxie Ini. They limit the maximum number of processes that Sandboxie allows in the sandbox at the same time.

   .
   .
   .
   [DefaultBox]
   ProcessLimit1=100
   ProcessLimit2=200
         

ProcessLimit1: Once the sandbox has more than X programs at the same time, each new program will be delayed for ten seconds before it starts to run. X is the number specified in ProcessLimit1. The length of the delay, ten seconds, is not configurable.

ProcessLimit2: Once the sandbox has more than Y programs at the same time, each new program will be immediately terminated. Y is the number specified in ProcessLimit2.

The default numbers are 100 and 200 as mentioned above. ProcessLimit2 cannot be smaller than ProcessLimit1.

Creative values can turn off one or both modes. For example,

   ProcessLimit2=999999
         

will effectively disable the termination feature. On the other hand,

   ProcessLimit1=50
   ProcessLimit2=50
         

will effectively disable the delaying feature.

Minuto 7:52: Usa un editor de textos para abrir un malware en vez de usar algo como el WinHex.  

Minuto 7:54: Vemos que los dos primeros caracteres son "MZ" lo cual nos indica que es un fichero EXE, pero va el del video y se corona diciendo:

"está cifrado en base 64".

Mwahahahahhaahahahahha!!!!!

Poco nivel no, lo siguiente.

Y ya no seguí viendo porque si quiero reírme pongo un sketch de "Les Luthiers".

Lo que estoy buscando son cosas como por ejemplo:


- APIs usadas por malwares. Por ejemplo "GlobalMemoryStatusEx" que se usa para saber la memoria que tiene el sistema.

- Claves de registro como por ejemplo:

\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion

que son utilizadas para identificar máquinas virtuales

Necesito ese tipo de ayuda.

Me temo que eso no ayuda. En la documentación del Buster Sandbox Analyzer ya hay una recopilación de servicios online de análisis.

http://bsa.isoftware.nl/frame3.htm

y lo de tomar ideas ya lo hice.

Lo que busco son comportamientos que se pueden considerar sospechosos que todavía no estén soportados en mi herramienta, o sea, estoy en el punto en que necesito un grado de concreción enorme.

¡Todos a la vez no, por favor! 

Hola.

Hace años que no actualizaba Buster Sandbox Analyzer, mi "malware behavior analyzer", una herramienta para analizar el comportamiento de los programas analizados de forma dinámica.

En este tiempo pueden haber aparecido nuevas técnicas de persistencia, de detección de sandboxes y máquinas virtuales, de redireccionar a páginas en los navegadores, etc, etc.

¿Hay alguien que normalmente analice malwares y que me pueda echar una mano para poner al día mi herramienta? La idea es añadir los comportamientos sospechosos que no están soportados.

¡Gracias por adelantado a los que colaboren a mejorar la herramienta!

 

"Practical malware analysis"

"Tiene pinta de ser útil para desarrolladores de malware."

Yo lo tengo y para nada. Como reza el título es un libro para iniciarse paso a paso, mediante pequeños ejercicios incluidos en el CD que trae, en el análisis de malware.