(Hoy tenemos una colaboración de Pedro López, en la que presenta la herramienta Buster Sandbox Analyzer a aquellos que todavía no la conozcan e invita a cualquier persona interesada a colaborar con su desarrollo)
Buster Sandbox Analyzer es una herramienta diseñada para analizar el comportamiento de aplicaciones, específicamente aquellos sospechosos, es decir aquellas acciones que lleva a cabo de forma típica el malware. Algunos ejemplos de acciones típicas son que el fichero ejecutado haga una copia de sí mismo en otro lugar del disco duro, que modifique claves del registro o que añada ficheros en el directorio de instalación del Windows entre otros.
No obstante, a la hora de identificar una acción como “peligrosa”, cabe plantearse que algunas, si no muchas, de las acciones que se pueden considerar como sospechosas también las suelen realizar aplicaciones legítimas, por eso es muy importante considerar el contexto general de la aplicación analizada: ¿es razonable que la aplicación que estamos analizado realice esas acciones?
Buster Sandbox Analyzer lleva actualmente tres años en desarrollo y cubre todas las funcionalidades propias de una herramienta de esta finalidad: es capaz de detectar cambios en el sistema de ficheros (creación, modificación y borrado de archivos), modificaciones en el registro, conexiones de red y además cuenta con gran cantidad de utilidades para facilitar las labores de análisis. Destacar que los análisis se pueden realizar tanto de forma manual como automática, permitiendo cuando se considera necesario automatizar el proceso de análisis. Es posible asimismo llevar a cabo varios análisis al mismo tiempo.
Considero que en este momento son pocas las funcionalidades que faltan por añadir a Buster Sandbox Analyzer, por lo que el principal esfuerzo radica en ampliar el conjunto de comportamientos sospechosos que actualmente no estén incluidos en los análisis; debido a la constante aparición de nuevas técnicas en el desarrollo de malware, las acciones “sospechosas” de las que hablábamos antes van variando constantemente y es necesario mantenerse al día. Desde esta entrada me gustaría pedir la colaboración de todas aquellas personas interesadas en la seguridad informática y el análisis de malware para que contribuyan al proyecto aportando ideas que ayuden a mejorar la herramienta, especialmente como comentaba aquellos comportamientos que todavía no estén incluidos.
Para más información, podéis visitar la web de la aplicación en http://bsa.isoftware.nl/ donde está toda la documentación necesaria para instalar y configurar las herramientas necesarias. También está disponible un video donde se muestra una instalación del Buster Sandbox Analyzer desde cero. El video está disponible en http://bsa.isoftware.nl/framee.htm. Para cualquier consulta podéis utilizar los comentarios de la entrada o dirigir un correo a malware.collector [at] gmail.com.
Casi todos los antivirus actuales por no decir todos poseen esta herramienta…por que instalarse una aparte?
Sergio: Pon un ejemplo de un antivirus que ejecute los ficheros a analizar y haga un análisis del comportamiento. Y recalco lo de ejecutar.