Buster Sandbox Analyzer - Malware präventiv abwehren

Funktionalität: Buster Sandbox Analyzer ist ein kostenloses Windows-Tool, mit dem sich das Verhalten von Software untersuchen lässt. Das Tool arbeitet dabei eng mit Sandboxie bis Version 3.76 zusammen: Während Letzteres die isolierte Programmumgebung bereitstellt, untersucht Ersteres das Verhalten der ausgeführten Prozesse und erstellt daraus auf Wunsch eine Risikobewertung. Die dafür herangezogenen Kriterien und deren Gewichtung kann der Benutzer an seine Bedürfnisse anpassen.

Überwachen lassen sich Änderungen an Dateisystem, Registry und Ports. Aber auch andere Aktionen lassen sich in die Überwachung einbeziehen, etwa wenn Anwendungen Tastatureingaben protokollieren, die Arbeitssitzung beenden, Treiber laden, eine Internetverbindung aufbauen sowie Dienste starten oder beenden. Buster Sandbox Analyzer eignet sich damit nicht nur für die Analyse von möglichen digitalen Schädlingen, sondern auch, um nachzuvollziehen, welche Änderungen unverdächtige Programme an einem Windows-System vornehmen.

Alle Beobachtungen hält das Tool in Berichten fest, die es außer im Textformat ebenfalls als HTML-, XML-, PDF- und JSON-Dateien erzeugen kann. Darüber hinaus lassen sich die erfassten Informationen über den integrierten Report Manager, hinter dem eine SQLite-Datenbank steckt, mithilfe von SQL-Abfragen bequem auswerten.

Installation: Buster Sandbox Analyzer kommt als portable Software ohne Installation aus. Es genügt, das 32 MByte große RAR-Archiv in ein beliebiges Verzeichnis zu entpacken und die Programmdatei zu starten. Als Voraussetzung benötigt die Software die Tools Sandboxie und WinPcap.

Bedienung: Bevor man mit dem Tool arbeitet, ist es ratsam, einige Einstellungen in Sandboxie zu treffen. Zunächst sollte man eine dedizierte Sandbox für Buster Sandbox Analyzer erstellen und ihr einen einprägsamen Namen geben. Anschließend ruft man den Menübefehl Konfiguration / Konfiguration bearbeiten auf, sodass die Datei Sandboxie.ini in den Standardeditor geladen wird. Nun gilt es, unter dem Abschnitt der dedizierten Sandbox, zum Beispiel [BSA], folgende Zeilen einzufügen:

InjectDll=<Pfad zu BSA>\LOG_API\LOG_API32.DLL

InjectDll64=<Pfad zu BSA>\LOG_API\LOG_API64.DLL

OpenWinClass=TFormBSA

NotifyDirectDiskAccess=y

ProcessLimit1=20

ProcessLimit2=30

Die mit InjectDll64 beginnende Zeile ist nur auf Systemen mit einem 64-Bit-Windows zusätzlich erforderlich. Ersetzen Sie die Angaben in spitzen Klammern durch den auf Ihrem PC gültigen Pfad zum Programmordner von Buster Sandbox Analyzer. Außerdem empfiehlt es sich, im Abschnitt, der mit UserSettings beginnt, die Zeile SbieCtrl_HideMessage=* zu ergänzen. Achten Sie darauf, dass in den Einstellungen für die Sandbox die Option Inhalte der Sandbox automatisch löschen deaktiviert ist, wie es der Vorbelegung entspricht.

Nach diesen einmalig durchzuführenden Vorarbeiten können Sie Buster Sandbox Analyzer starten. Die Programmoberfläche ist übersichtlich und enthält unter der Symbolleiste zwei Felder. Im ersten trägt man den zu überwachenden Sandbox-Ordner ein, während sich im zweiten die zuletzt verwendeten Pfade über ein Pulldown-Menü auswählen lassen. Mit einem Klick auf die Schaltfläche Start Analysis beginnt die Untersuchung. Ab jetzt nimmt das Tool alles unter die Lupe, was der Anwender in der angegebenen Sandbox aufruft.

Bevor man die Überwachung mit Finish Analysis wieder beenden kann, muss man zuvor in Sandboxie alle Programme beenden. Wenn unter Options / Manual Analysis Options der Befehl View Malware Analysis On Finish eingeschaltet ist, zeigt Buster Sandbox Analyzer anschließend eine Liste mit verhaltensauffälligen Aktionen. Dieser und weitere Berichte lassen sich auch über das Menü Viewer einsehen, allerdings nur im Textformat. Hat man die Software angewiesen, Berichte zum Beispiel auch im PDF- oder HTML-Format zu erstellen, befinden sich diese Dateien im Programmordner unter Reports und müssen manuell aufgerufen werden.

Negativ fiel auf, dass der Nutzer die Größe des Programmfensters nicht anpassen kann. Zudem ist die Übersetzung ins Deutsche nicht sonderlich gelungen. So findet sich in einer Reihe von Menüs eine Mischung aus Deutsch und Englisch, die den Anwender mehr verwirrt als dass sie ihm weiterhilft.

Fazit: Mit dem Duo aus Buster Sandbox Analyzer und Sandboxie lassen sich Programme auf potenziell gefährliches Verhalten untersuchen. Da die Anwendungen in einem isolierten Bereich des PCs ausgeführt werden, bergen diese Analysen keine allzu große Gefahr. Allerdings erfordert die Beurteilung, ob tatsächlich Malware vorliegt, sehr viel Erfahrung, die auch die Risikoeinschätzung durch das Tool nicht ersetzen kann. (cvi)