środa, 3 lipca 2013

Buster Sandbox Analyzer (BSA) - śledzenie zmian wprowadzanych do systemu


Buster Sandbox Analyzer (BSA)- to narzędzie, które zostało zaprojektowane do analizy zachowań procesów i logowania zmian wprowadzanych do systemu, które następnie są ocenianie pod względem szkodliwości swojego działania.
Na te działania składają się: zmiany systemu plików, zmiany rejestru i aktywność sieciowa analizowanej aplikacji.
Z nich wszystkich  uzyskujemy niezbędne informacje do oceny danej aplikacji.
Dodatkowo oprócz zmian systemowych możemy wychwycić też inne podejrzane działania: logowanie klawiatury, próba zakończenia sesji, załadowanie sterownika, uruchamianie usług, itd.
Uzyskanie tych informacji w sposób łatwy i bezpieczny jest możliwy dzięki współdziałaniu BSA z popularną piaskownicą Sandboxie, Buster Sandbox Analyzer używa Sandboxie jako środowiska do uruchamiania aplikacji.

Głównym celem BSA jest ocena, czy "zapiaskowane" procesy wykazują złośliwe zachowania, ale narzędzie może być wykorzystywane także po to by uzyskać listę zmian wprowadzonych do systemu przez inny bezpieczny program. Po przeprowadzonej analizie oprogramowania, będziemy wiedzieć dokładnie, co instaluje i gdzie.
Możemy analizować między innymi pliki: DOC, XLS, PDF, vbs, bat, APK itp.

Okno główne aplikacji.
 Przykładowa analiza zmian jakie w systemie powoduje fałszywy program antywirusowy XP AntispywarePro 2013:

Działanie fałszywego antywirusa.
 Raport utwożony za pomocą Buster Sandbox Analyzera:

[ Changes to filesystem ]
   * Creates file (hidden) C:\Documents and Settings\All Users\Dane aplikacji\6o4v7yr6ikfw18072u
   * Deletes file C:\Documents and Settings\aaa\Pulpit\Samples\FlashPlayer_11_4_update_for_Win.exe.exe
   * Creates file (hidden) C:\Documents and Settings\aaa\Szablony\6o4v7yr6ikfw18072u
   * Creates file (hidden) C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\6o4v7yr6ikfw18072u
   * Creates file C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe
   * Creates file (hidden) C:\Documents and Settings\aaa\Ustawienia lokalne\Temp\6o4v7yr6ikfw18072u
   * Modifies file C:\Documents and Settings\aaa\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

[ Changes to registry ]
   * Creates value "(Default)=IEXPLORE.EXE" in key HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet
   * Creates value "(Default)="C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe"" in key HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
   * Creates value "(Default)="C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode" in key HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
   * Creates value "(Default)="C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe"" in key HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
   * Modifies value "AntiVirusOverride=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Security Center
          old value empty
   * Modifies value "FirewallOverride=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Security Center
          old value empty
   * Modifies value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
          old value empty
   * Modifies value "Start=00000004" in key HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SharedAccess
          old value "Start=00000002"
   * Empties value "EnableFirewall" in key HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
         old value "EnableFirewall=00000001"
   * Creates value "DisableNotifications=00000001" in key HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
   * Creates value "DisableNotifications=00000001" in key HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
   * Deletes Registry key HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\wuauserv
   * Creates value "(Default)=IEXPLORE.EXE" in key HKEY_CURRENT_USER\software\Clients\StartMenuInternet
   * Creates value "Local=0AB19919" in key HKEY_CURRENT_USER\software\Microsoft\Windows
   * Modifies value "SavedLegacySettings=3C000000F201000001000000000000000000000000000000040000000000000010C08F0AA20CCC01010000000A00020F0000000000000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
          old value "SavedLegacySettings=3C000000F101000001000000000000000000000000000000040000000000000010C08F0AA20CCC01010000000A00020F0000000000000000"
   * Creates value "(Default)=kDx" in key HKEY_CURRENT_USER\software\classes\.exe
   * Creates value "Content Type=application/x-msdownload" in key HKEY_CURRENT_USER\software\classes\.exe
   * Creates value "(Default)=%1" in key HKEY_CURRENT_USER\software\classes\.exe\DefaultIcon
   * Creates value "(Default)="C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe" -a "%1" %*" in key HKEY_CURRENT_USER\software\classes\.exe\shell\open\command
   * Creates value "IsolatedCommand="%1" %*" in key HKEY_CURRENT_USER\software\classes\.exe\shell\open\command
   * Creates value "(Default)="%1" %*" in key HKEY_CURRENT_USER\software\classes\.exe\shell\runas\command
   * Creates value "IsolatedCommand="%1" %*" in key HKEY_CURRENT_USER\software\classes\.exe\shell\runas\command
   * Creates value "(Default)=Application" in key HKEY_CURRENT_USER\software\classes\kDx
   * Creates value "Content Type=application/x-msdownload" in key HKEY_CURRENT_USER\software\classes\kDx
   * Creates value "(Default)=%1" in key HKEY_CURRENT_USER\software\classes\kDx\DefaultIcon
   * Creates value "(Default)="C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe" -a "%1" %*" in key HKEY_CURRENT_USER\software\classes\kDx\shell\open\command
   * Creates value "IsolatedCommand="%1" %*" in key HKEY_CURRENT_USER\software\classes\kDx\shell\open\command
   * Creates value "(Default)="%1" %*" in key HKEY_CURRENT_USER\software\classes\kDx\shell\runas\command
   * Creates value "IsolatedCommand="%1" %*" in key HKEY_CURRENT_USER\software\classes\kDx\shell\runas\command

[ Network services ]
   * Queries DNS pcsecstat.com
   * Queries DNS pcsecpay.com
   * Queries DNS bosskorunifoot.info
   * C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe Connects to "78.140.135.203" on port 80 (TCP - HTTP).
   * C:\Documents and Settings\aaa\Ustawienia lokalne\Dane aplikacji\cql.exe Connects to "78.140.135.211" on port 80 (TCP - HTTP).

[ Process/window/string information ]
   * No changes 

 Packet Sniffer to moduł do kontrolowania aktywności sieciowego sprawdzanej aplikacji:

Aktywności sieciowa sprawdzanego programu.

Malware Analizer to części BSA która pomaga nam określić które działania testowanej aplikacji mogą być szkodliwe, i wskazują że mamy do czynienia z programem szkodliwym:

Działania które wskazują ze dany program może być niebezpieczny.
Buster Sandbox Analyzer to doskonałe narzędzie dla mniej lub bardziej zaawansowanych użytkowników. Może służyć jako aplikacja do prostego sprawdzania gdzie dany program coś zmienia lub dodaje jakieś pliki, np. w celu późniejszego usunięcia wszystkich śmieci jakie niektóre programy po sobie zostawiają. Jednakże może być też używany przez bardziej doświadczonych użytkowników do dokładnej analizy działania szkodliwych programów.

MD5: 857782b0cb53318fecc7b10ee20a3ad7
Autor: o

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)