Any.Run: una herramienta interactiva de análisis de malware que ahora esta abierta al público

Daniel

4 min read
Any.Run: una herramienta interactiva de análisis de malware que ahora esta abierta al público

Ayer, el servicio de sandbox de análisis de malware interactivo llamado Any.Run anunció que su versión de comunidad gratuita está abierta al público. Esto permite a cualquier persona registrar una cuenta y analizar interactivamente un archivo en particular en tiempo real.

Any.Run tiene su base en Rusia y fue fundado en 2016 por el investigador de seguridad llamado Alexey Lapshin. Su equipo ahora consta de cinco desarrolladores dedicados que trabajan en la mejora de la plataforma.

Lo que hace que Any.Run sea diferente de otras herramientas de análisis de espacio aislado es que es completamente interactivo. Eso significa que en lugar de cargar un archivo y esperar a que un sandbox genere un informe, con Any.Run puede cargar un archivo y en tiempo real interactuar con el sandbox mientras analiza su archivo. Esto le permite cargar programas que requieren que haga clic en botones o documentos maliciosos que requieren que habilite contenido o macros.

Por ejemplo, supongamos que desea analizar un paquete de adware que requiere que haga clic en varias instrucciones de instalación antes de instalar programas no deseados. Usando Any.Run puedes hacer eso.

Any.Run también le ha informado que este servicio no está destinado a "controles masivos en los que no se requiera la intervención del usuario. Además, no es adecuado para una investigación en profundidad del hilos y del código de los procesos ejecutados". En cambio, está destinado a usuarios que desean analizar malware que requiere la interacción del usuario o analizar vectores de ataque, PoC de nuevos exploits y paquetes de exploits de componentes múltiples.

Usando Any.Run para analizar un archivo

Usar Any.Run es bastante simple. Cómo puedes ver en la siguente imagén además indican los ranwsomware más interesantes en el momento de escribir este post es "Annabelle_Ransom.exe"

any-run-pantalla-inicial

En primer lugar, debe configurar una nueva tarea en la que seleccione el archivo o la URL que desea analizar, seleccione el sistema operativo (Windows 7/8.1/10) para el entorno, las opciones de conectividad que desea usar y el software que debe precargarse y cuánto tiempo durará la sesión interactiva.

new-task-anyrun

Cuando esté listo, haga clic en el botón Ejecutar. Any.Run construirá el entorno configurado, mostrará el entorno de la zona de pruebas con el que puede interactuar y luego iniciará el programa solicitado.

ramsom-ejecucion-en-anyrun

Desde aquí, puede interactuar con el escritorio, hacer clic en los botones, abrir el menú de inicio, los navegadores de usuario, abrir el editor de registro, abrir el administrador de tareas y ejecutar las aplicaciones como lo haría normalmente. La diferencia es que Sandbox registrará todas las solicitudes de red, las llamadas de proceso, la actividad del archivo y la actividad del registro como se muestra en la imagen a continuación.

analisis-ransom-resultados

De esta forma, puedes ver las solicitudes de red, los procesos que se crean y la actividad del archivo en tiempo real. Si desea profundizar en una solicitud de red, puede hacer clic en ella para ver la solicitud y la respuesta.

analisis-solicitud-de-red-anyrun

También puede hacer clic en un proceso iniciado y ver qué archivos modificó, qué cambios de registro realizó, qué bibliotecas se usaron y más.

annabelle_ransom_analisis

Como puede ver, el uso de Any.Run hace que sea muy fácil analizar muestras de malware, especialmente cuando necesita algún tipo de interactividad.

Más características próximamente

Si bien el componente de recinto de seguridad funciona muy bien, hay algunas características que aún faltan. Por ejemplo, no hay manera de generar actualmente un informe de una sesión en particular. Según Any.Run, actualmente no tienen un ETA sobre cuándo estará lista esta función.

Con la disponible actualmente gratuita, existen varias limitaciones. Por ejemplo, este plan no le permite usar sistemas operativos de 64 bits, tiene tamaños de archivo de muestra limitados y tiene un tiempo limitado para que pueda interactuar con el entorno.

Any.Run planea agregar diferentes niveles de suscripción que se pueden comprar para agregar más opciones. Estos niveles ya están disponibles, pero el precio no se ha establecido.

precios-anyrun

Si bien ha habido numerosas solicitudes para que Any.Run ofrezca estos servicios, Any.Run ha dicho que no se agregarán hasta que sientan que el servicio se encuentra en un estado estable. Hasta entonces, los usuarios simplemente tendrán acceso al nivel de servicio gratuito, que aún ofrece bastantes características.