近日, 名为 Any.Run 的交互式恶意软件分析沙盒服务宣布, 其免费社区版本正式向公众开放这样一来任何人只需简单的注册一个账号, 就可以使用该平台实时的对某个特定文件进行交互式的分析
Any.Run 项目最早是由安全研究员 Alexey Lapshin 于 2016 年创立的目前, 该项目主要由团队五名致力于改进平台的专职开发人员共同负责
Any.Run 与其他沙盒分析工具的主要区别在于, Any.Run 是完全交互式的这意味着使用 Any.Run 你可以上传文件, 并在分析文件的同时与沙箱实时交互, 而不是传统的上传文件然后等待报告除此之外的另一大好处就是, Any.Run 允许你上传需要点击按钮, 启用内容或宏的恶意文档程序
例如, 你想分析一个广告软件包, 但安装前需要你手动点击确认各种安装提示那么 Any.Run 可以做到这一点
此外, Any.Run 还向我们透露, 该服务并不适用于不需要用户干预的大规模检测, 以及深入研究线程和执行的进程代码相反, 它适用于想要分析需要用户交互的恶意软件, 或攻击媒介, 新漏洞攻击的 PoC 和多组件漏洞利用攻击包
使用 Any.Run 分析文件
Any.Run 的使用非常简单
首先, 你需要创建一个新任务, 然后选择要分析的文件或 URL, 为沙盒选择操作系统 (Windows 7/8.1/10), 要使用哪些连接选项, 应该预装哪些软件 , 以及交互式会话应持续多长时间
准备就绪后, 点击运行按钮 然后, Any.Run 将构建配置的环境, 显示可与之交互的沙箱环境, 启动所请求的程序
现在, 你可以与桌面进行交互, 点击按钮, 打开开始菜单, 用户浏览器, 打开注册表编辑器, 打开任务管理器, 并像往常一样运行应用程序不同的地方在于沙箱将记录所有网络请求, 进程调用, 文件活动和注册表活动, 如下图所示
通过这种方式, 你可以实时的查看任何的网络请求, 正在创建的进程以及文件活动如果你想更进一步的了解网络请求情况, 你可以点击它进行查看
你还可以点击已启动的进程, 并查看被修改的文件, 注册表, 使用的库文件等等
正如你所看到的, 使用 Any.Run 可以让你非常轻松地分析恶意软件样本, 特别是当你需要某种交互时
更多特性有待完善
尽管当前的沙盒组件运行看似很完美, 但仍有许多不足之处例如, 目前没有办法生成特定会话的报告根据 Any.Run 的说法, 他们目前还没有一个准确的计划, 因此该功能何时上线仍是个未知数
其次, 由于该开放版本为免费版, 因此在使用上也存在诸多限制例如, 你不能使用 64 位的操作系统, 限制了上传样品文件的大小以及与沙盒的交互时间
为此, Any.Run 为不同付费版本提供了定制化的服务, 但具体价格尚未确定
虽然有许多忠实的用户请求 Any.Run 尽快开放这些服务, 但 Any.Run 向我们表示只有服务处于稳定状态后他们才会被添加在此之前, 用户仍将只能访问免费版, 但这也足以应付日常的分析任务
来源: http://www.tuicool.com/articles/M32ER33