Configurar BSA con soporte para FakeNet

FakeNet es una herramienta que simula una red para que el malware que interactua con un equipo remoto continúe ejecutándose permitiendo a un analista observar la actividad de red en un entorno seguro. Básicamente redirecciona todo el tráfico a localhost donde levanta y simula servidores DNS, HTTP, SSL y SMTP que van respondiendo a las peticiones que va realizando el artefacto de malware que está siendo analizado. De esta manera conseguiremos "engañar" al malware y no utilizaremos nuestra conexión real a Internet (algo NUNCA recomendado en análisis de malware).

Si recordáis, hace poco también estuvimos hablando de la instalación y configuración inicial de Buster Sandbox Analyzer (BSA), un analizador de comportamiento de malware que funciona con Sandboxie y que además añade soporte para FakeNet. Para configurarlo podemos seguir unos sencillos pasos:

- Descarga y descomprime FakeNet a una carpeta.


- Edita FakeNet.cfg y cambia “OutputOptions DumpHTTPPosts:No DumpOutput:No Fileprefix:output” a “OutputOptions DumpHTTPPosts:No DumpOutput:Yes Fileprefix:output”.


- Ejecuta Sandboxie y BSA.


- En BSA selecciona:


    Opciones->Modo de Análisis->Automático
    Opciones->Opciones de Análisis Automático->Modo FakeNet


    Opciones->Opciones de Análisis Comunes->Capturador de Paquetes->Guardar Captura a Fichero

- En BSA pulsa el botón “Comenzar Análisis”

    En la siguiente ventana selecciona el directorio de FakeNet
    Selecciona el tiempo en minutos de ejecución del malware
    Selecciona la carpeta que contiene el malware




Una vez analizado el malware, podréis comprobar en los reports, dentro del fichero Connections.TXT, como FakeNet ha ido respondiendo a las peticiones del bot. Os dejo un ejemplo con las primeras conexiones de un troyano Flu:

[DNS Query Received.]
  Domain name: servidor.muy.malo.com
[DNS Response sent.]


[Received new connection on port: 80.]
[New request on port 80.]
  GET / HTTP/1.1
  Host: servidor.muy.malo.com
  Connection: Keep-Alive
  X-FCCKV2: BS0oSKcO2ilgvsdVmvm1hU3ON5mMkyH8iKrhuQ==

[Sent http response to client.]

[Received new connection on port: 80.]
[New request on port 80.]
  GET /actualizarEstadoMaquina.php?m=0250F2000001&s=6.1 HTTP/1.1
  Host: servidor.muy.malo.com
  X-FCCKV2: O1hCbM41FHsOvhDU1mB7Hp9JwH5seO2a1CczLA==

[Sent http response to client.]

[Received new connection on port: 80.]
[New request on port 80.]
  GET /wee.xml HTTP/1.1
  Host: servidor.muy.malo.com
  X-FCCKV2: RqbY7HpFq2h/vivtVO2Z4z5Jw4urL8UToLqP6A==

[Sent http response to client.]

Comentarios