Buster Sandbox Analyzer

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

Hola.

Los antivirus distan mucho de ser perfectos, al igual que los anti-malwares. Muchos malwares, sobre todo los de reciente creación, son indetectables por el antivirus que tenemos instalado en nuestro ordenador.

Una solución que ahora usa mucha gente para mitigar este problema es escanear con muchos antivirus, usando la web Virus Total por ejemplo.

Esa solución tiene dos grandes problemas: el menor de ellos es que debemos disponer de una conexión a internet para poder remitir los ficheros que queramos analizar. Sin conexión no hay análisis. El mayor problema es que un malware recién creado puede no ser detectado por ninguno de los antivirus.

El problema de los malwares no se reduce sólo a la infección o corrupción del sistema operativo o a la pérdida de datos. Quizás ése sea el menor de los problemas ya que las imágenes de disco o software del tipo Deep Freeze pueden prevenir esos problemas. El robo de información (documentos, claves bancarias, etc) es quizás el mayor reto a la hora de prevenir el malware. La solución típica a este problema suelen ser los firewalls y los HIPS.

Existe otro método para la detección de malwares y es el análisis del comportamiento. Se trata de ver qué acciones realiza una aplicación y utilizando unos parámetros determinar si esas acciones son típicas de los malwares. El clásico ejemplo de este tipo de solución es el Norman Sandbox Analyzer que es una solución orientada a profesionales. Orientado a "home users" existen aplicaciones pero la mayoría de ellas son on-line. Por ejemplo ThreatExpert, Anubis, JoeBox, CWSandbox, ...

Personalmente este método de detección de malwares me atrae porque es un método genérico. Donde los antivirus fallan este método puede triunfar. El problema es que hasta ahora no había ninguna solución personal para los usuarios de a pie. El Norman Sandbox Analyzer está fuera del alcance de la mayoría de los mortales (una licencia por un año cuesta más de 10.000 euros). Las soluciones on-line requieren de una conexión a Internet además de que nosotros realmente no poseemos el software.

Por eso decidí crear un analizador de malware. Bueno, en realidad es un analizador de software que dictamina si el comportamiento es el de un malware o no.

El resultado se llama "Buster Sandbox Analyzer".

Se puede seguir el desarrollo de la aplicación aquí:

http://sandboxie.com/phpbb/viewtopic.php?t=6557

La herramienta se puede descargar desde aquí:

http://bsa.qnea.de/bsa.rar

Lo típico... RTFM (read the fucking manual - lee el jodido manual)

Si alguien tiene alguna pregunta adelante, doy soporte. Sonrisa

El que lo pruebe que me cuente qué le parece.

Saludos.

Pero lo has hecho tú?? Ojos Movidos

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

Sí.

Seguridad informática ADSLzone Registrado: Nov 05, 2005 Mensajes: 2697

Estupendo, muchas gracias.

Vamos a ver donde lo colgamos. Muy Contento

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

ethiel escribió:

Vamos a ver donde lo colgamos. Muy Contento

En la plaza mayor a la vista de todos. Razz

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

La página web de la herramienta se puede visitar aquí:

http://bsa.qnea.de/

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

Released Buster Sandbox Analyzer version 1.07

Change list:

Added detection of new malicious activities
Updated BSA.DAT
Updated LOG_API library

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

Novedades

La página web del BSA se ha mudado a http://bsa.netai.net

La última versión disponible es la 1.22 que se puede descargar desde:

http://bsa.netai.net/bsa.rar

http://rapidshare.com/files/39...r.1.22.rar

http://www.megaupload.com/?d=TOTVC9ZH

http://hotfile.com/dl/45674283...2.rar.html

Son muchas las novedades en cuanto a la última versión que anuncié, la 1.07.

Por ejemplo la nueva versión incorpora un packet sniffer que permite analizar el tráfico de red, pudiendo ser capturado a un fichero para poder realizar un análisis forense más detallado.

También habría que destacar importantes mejoras en la detección de comportamientos sospechosos y que la última versión permite analizar ficheros tanto en modo manual como automático. El modo automático permite analizar múltiples muestras.

¿Alguien que lo esté usando me puede hacer un comentario de qué le parece?

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

netai.net era un host pésimo, por eso decidí cambiarlo. La nueva web del Buster Sandbox Analyzer es:

http://bsa.isoftware.nl

Versión 1.23 disponible.

Publicado: Viernes 04 Junio 2010, 8:19

Oye, magnífico; me ha gustado mucho. Muy Contento

.

Creo que tú y yo deberíamos intercambiar conocimientos, si te parece bien.

Mándame un privadito con tu correo, que tengo yo algunas ideas.

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

Released Buster Sandbox Analyzer 1.36.

Changes:

+ Added support for ssdeep
+ Improved the support for DLL files
+ Report informations can be selected individually
+ Updated BSA.DAT
+ Fixed several bugs

Publicado: Sábado 25 Junio 2011, 13:06

Se agradece, descargando a ver qué tal. Muy Contento

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

ethiel escribió:

Se agradece, descargando a ver qué tal. Muy Contento

¿Y bien...?

ZoNeR@ Registrado: Sep 17, 2009 Mensajes: 44

Released Buster Sandbox Analyzer 1.37.

Changes:

* Improved hiding feature
* Updated BSA.DAT
* Removed evaluation risk feature
* Fixed several bugs

Part of the improved hiding feature is the possibility of naming LOG_API.DLL with the file name you prefer.

Evaluation risk was removed from malware analysis report because it was too misleading. Probably I will reintroduce the feature in the near but having other format.

ZoNeR@ Profesional Registrado: Dec 25, 2007 Mensajes: 135

Juer... da alegría encontrarse posts así.
Para empezar gracias VirusBuster_29A por compartir con nosotros este programa, aunque yo por desgracia no tengo tiempo por ahora, me comprometo a testarlo en cuanto pueda.
¿Es dependiente de Sandboxie? Quiero decir, ¿necesitas tener instalado Sandboxie para poder ejecutarlo?