一款名为 Any.Run 的交互式恶意软件分析沙箱服务正式以免费社区版本形式向公众开放,Any.Run 允许任何访问者注册帐户,并实时以交互方式对特定文件进行分析。

2016年,安全研究人员阿力克西·拉普金(Alexey Lapshin)创建了 Any.Run ,他的团队目前拥有五位专职开发人员,致力于改进该套平台。

Any.Run之所以不同于其它沙箱分析工具,是因为其具备完全交互式特性,在  Any.Run  的帮助下,用户可以在上传文件与分析文件的同时,与该沙箱实时交互——而不必像过去那样傻傻等待上传完成后的进一步处理结果。采用这种方式,用户能够上传被要求点击特定按钮或者启用某些内容或宏的恶意文档。

举例来说,如果您希望分析一套广告软件包,并对其中的各类安装提示进行检测,那么Any.Run将能够很好地完成任务。

Any.Run方面还在采访当中指出,该服务不适用于“无需用户介入的大规模检查类任务。此外,其也不适用于对线程与执行中的进程代码进行深入研究。”相反,其主要用于分析需要用户交互的恶意软件或者攻击载体、新型漏洞攻击概念验证方案以及多组件漏洞攻击包。

利用Any.Run分析文件

Any.Run的使用方式非常简便。首先,用户需要设置一个新任务,选定需要分析的文件或URL、选定沙箱环境所使用的操作系统(Windows 7/8.1/10)、希望使用的连接选项、需要预加载的软件以及整个交互会话的持续时长。

设置一个新的分析任务

在准备好之后,点击运行按钮。接下来,Any.Run将构建配置环境,显示可与之交互的沙箱环境,而后启动所请求的程序。

已启动的沙箱

从这里开始,用户可以与桌面进行交互、点击按钮、打开开始菜单、用户浏览器、打开注册表编辑器、打开任务管理器,并像平常情况下一样运行应用程序。惟一的区别在于,该沙箱会记录所有网络请求、进程调用、文件活动以及注册表活动。具体如下图所示。

监控应用程序活动

通过这种方式,用户将能够实时查看任何网络请求、正在创建的进程以及文件活动。如果您希望深入了解网络请求,亦可点击对应条目以查看请求及响应信息。

详尽网络请求信息

用户还可以点击已经启动的进程查看被修改的文件、由此引发的注册表变更以及所使用的库等。综上,Any.Run 能够轻松分析恶意软件样本,特别是能够很好地检测其中的交互性元素。

Any.Run更多功能还在开发当中

尽管沙箱组件已经运行得非常好,但目前其中仍存在一些功能缺失。举例来说,Any.Run目前还无法为特定会话生成报告。根据Any.Run 方面的说法,他们目前还没有 ETA,也不确定何时会提供相关功能。

目前发布的免费版本也存在诸多限制。例如,此版本不允许用户使用64位操作系统,样本文件大小受到限制,且与沙箱环境交互的时长也有着明确的规定。Any.Run方面解释称,他们提供不同的订阅服务选项,可供用户结合自身需求购买具体方案。目前各选项已经准确就绪,但尚未定价。

订阅服务选项

虽然人们已经对 Any.Run 的服务深表期待,但他们指出在确认服务得到稳定状态之前不会急于推出。在此之前,用户将只能访问免费服务选项,但即使是免费版本,其中也已经包含极为强大的功能与分析手段。

地址:https://any.run/

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。