Any.Run - interaktywne narzędzie analizy szkodników - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Any.Run - interaktywne narzędzie analizy szkodników (/thread-11374.html) |
Any.Run - interaktywne narzędzie analizy szkodników - ichito - 08.03.2018 Możliwe, że kogoś taka informacja zainteresuje, bo niektórzy z nas...użytkowników forum i jego czytelników...zajmują się analizą malware amatorsko lub profesjonalnie. Wczoraj na Bleepingcomputer poinformowano, że bazujące na piaskownicy narzędzie analizy szkodników pod nazwą Any.Run zostało udostępnione publicznie i zyskało tym samym możliwości dostępne za darmo...wystarczy zarejestrować się i założyć konto, by uzyskać dostęp do unikalnego narzędzia. Wg autora informacji różni się ono od innych m.in tym, że - po przesłani pliku do analizy nie czeka się na zbiorczy raport, ale informacje nadchodzą w miarę postępu analizy - pozwala to więc na interakcję analizy z użytkownikiem, jeśli konieczne są jakieś jego działania typu uruchomienie makr, wydanie zezwolenia, itp. Serwis jest rosyjski, co może budzić wątpliwości u niektórych, ale ze względu na źródło informacji oraz statystyki na stronie głównej widać, że obawy są chyba nieuzasadnione. Screeny za info z BC - na pierwszym porównanie wersji serwisu i tym samym dostępnych możliwości Dokładny opis z krótkim przewodnikiem i przykładami [Aby zobaczyć linki, zarejestruj się tutaj] Strona Any.Run [Aby zobaczyć linki, zarejestruj się tutaj] RE: Any.Run - interaktywne narzędzie analizy szkodników - adrian.sc - 08.03.2018 Świetnie to wygląda. Niestety bardzo mi to przypomina piaskownicę Cuckoo Sandbox, ale w wersji mocno przebudowanej pod kątem frontend-u. Mogę się mylić, ale że posiadam spore doświadczenie w pracy z Cuckoo Sandbox od strony backendu, to widzę, że większość rzeczy jest podobna - od wybierania systemu, po szczegóły techniczne IoC oraz wypluwane raporty z analizy. Niemniej, aby osciągnąć taki efekt jak widać potrzeba ogromu pracy i bardzo dużego doświadczenia w Pythonie. Zresztą, VirusTotal także korzysta z Cuckoo Sandbox i też w wersji niemal nie od odróżnienia, więc nie jest to powód do wstydu. Aczkolwiek spodziewałem się ujrzeć coś bardziej unikalnego I taką usługę można już sprzedać, bo do samej analizy dla użytkowników to tego produktu na pewno nie wypuścili RE: Any.Run - interaktywne narzędzie analizy szkodników - ichito - 08.03.2018 Dzięki za uwagi, bo na pewno masz doświadczenie w tej dziedzinie...może się skusisz na wypróbowanie?...wtedy poczekamy na szerszy komentarz RE: Any.Run - interaktywne narzędzie analizy szkodników - adrian.sc - 08.03.2018 Tylko pod jakim kątem porównywać, bo każdy ma inne preferencje i do czegoś innego wykorzystuje takie sandboxy. Jednym z minusów piaskownicy do analizy malware jest to, że właściwie nie wiemy, z jakiego rozwiązania "w środku" korzysta deweloper, więc tak naprawdę nie da się stwierdzić bez dokładnego porównania, czy ów maszyny Windows są dobrze "zabezpieczone" przed technikami stosowanymi przez malware do wykrywania środowiska wirtualnego. Dlatego też czasami malware może nie robić zupełnie nic w VM-ce, a taki system "rzeczywisty" będzie infekować. Załączam lekturę, która jest ciągle aktualna pod tym kątem dla różnych hiperwizorów. Takim rozszerzeniem załączonego PDF-a są aplikacje Pafish: [Aby zobaczyć linki, zarejestruj się tutaj] i Al-Khaser[Aby zobaczyć linki, zarejestruj się tutaj] Zasadniczo powinniśmy uzyskać wszystko na "zielono", ale nie zawsze jest to możliwe nawet w systemie rzeczywistym, bez grzebania w bebechach systemu.Da mnie ważne jest środowisko w jakim uruchamiamy szkodnika, aby było jak najbardziej aktualnie, przynajmniej w kontekście systemu operacyjnego, dlatego Windows 10 to konieczność. Jeżeli chcemy dowiedzieć się, co konkretnie robi wirus nie zawsze jest to najlepsze wyjście, ale z mojego punktu widzenia, gdzie interesuje mnie też skuteczność AV, to właśnie Windows 10 stanowi bazę do analizy. Piaskownice, z których korzystam to:
[Aby zobaczyć linki, zarejestruj się tutaj] w którym maszyny VM są oparte o vSphere. Ten hiperwizor pozwala uzyskać dostęp do systemu przez API na poziomie ring(-1), więc nie wymaga instalowania żadnego agenta pokroju Vmware tools lub dla VirtualBox Additional tools (tak to się nazywało?). I tak naprawdę dzięki API, konsola może wyrzucać tony informacji z systemu bez dodatkowego oprogramowania „w środku” Windows. Oczywiście trzeba je jeszcze poddać stosownemu sortowaniu i parsowaniu. Jest to najbardziej korzystne z punktu analizy malware, które posiłkują się technikami anti-anti-vm.Innych produktów nie kojarzę. Na pewno są takie, równie ciekawe, np. Joe Sandbox, który też mi przypomina z opisów technicznych Cuckoo Sandbox… Tak naprawdę większość z tych dobrych jest płatna i wykorzystana raczej w środowiskach biznesowych jako dodatkowy "sandbox" dla nierozpoznanych plików. RE: Any.Run - interaktywne narzędzie analizy szkodników - adrian.sc - 09.03.2018 No to sobie pogadaliśmy... Jestem ciekawy jakie wy narzędzia i programy stosujecie do analizy malware? RE: Any.Run - interaktywne narzędzie analizy szkodników - Quassar - 09.03.2018 VMware 2x UDOO / 1 Rasberry PI - gdzie gości Slackware i mini windows 7 i ofc narzędzia. W skład narzędzi wchodzi Hiew , IDA Spyware Process Detector (taki tam ruski wynalazek ) Pakiet narzędzi od M$ Sysinternals m.in System Explorer , SysMon, TCPView, Autoruns Notepad++ (bo jam mam otwierać pliki w notatniku od M$ z większą ilością kodu to mnie krew zalewa) DiskPulse (fajny program do monitorowania zmian w plikach) WireShark H.x.d - bo czasem hiew mnie irytuje. (musiałem wykropkować bo mi emotka sie odpala ) dnSpy I pare innych narzędzi ogólnie tego trochę jest u mnie ale nie zawsze korzystam z połowy tego co mam.. bo nie ma takiej potrzeba ale jak coś to warto po prostu być przygotowanym.. W porównaniu do kolego powyżej Ja zazwyczaj rzadko korzystam z mechanizmów w chmurze wole tradycyjnie RE: Any.Run - interaktywne narzędzie analizy szkodników - adrian.sc - 09.03.2018 Kto co woli... Może nie chodzi tutaj o tradycję, ale analizę manualną - automatyczną. Te dwie różnią się zasadniczo i automat nie daje takiej precyzji, jak manual. Niemniej, jeżeli nie wiemy początkowo czego szukać, to zawsze wybieram automat - albo w ogóle chcemy się szybko upewnić, czy plik jest na pewno złośliwy. No i zawsze mnie interesował temat automatyzacji testów AV, więc jakoś tak mam, że buduję środowisko wokół narzędzi, które dają się za pomocą API zautomatyzować (przede wszystkim Vmware i XenServer). VirtualBox w kontekście pełnej automatyzacji jest niestabilny, crashuje się często w losowych sytuacjach. Do jednej maszynki wystarczy, ale do wielu uruchomionych w jednym czasie to już nie. Tak czy owak co zrobimy potem z tymi logami to już kwestia drugorzędna. Często trzeba przekopać się przez "śmieciowe" informacje. Ale w manualu jest tak samo. RE: Any.Run - interaktywne narzędzie analizy szkodników - Quassar - 09.03.2018 Często to dłubanie na ślepo bo czasem jak mi znajomy podeśle próbkę i nic nie napisze to nigdy nie wiadomo czego można się spodziewać i należy sprawdzić wszystko pod każdym kątem a to jest bardzo czasochłonne i niektóre wpisy bardzo łatwo przeoczyć. Kolejna sprawa to ewolucja wirusów po prostu są w stanie rozpoznać środowisko wirtualne lub dany program ochronny i pozostać w uśpieniu nie podejmując żadnej akcji. RE: Any.Run - interaktywne narzędzie analizy szkodników - adrian.sc - 09.03.2018 Dokładnie, dlatego automat nie załatwi sprawy, ale w pewnych warunkach sprawdzi się. Idąc z duchem czasu trzeba pamiętać, że istnieją rozwiązania dla Vmware i XenServer, które pozwalają na poziomie ring(-1) komunikować się z maszyną i przechwytywać zdarzenia, co w efekcie daje "wyższe" uprawnienia (taki super-super-admin) niż ring-0 w Windows. Wtedy taka VM-ka nie potrzebuje żadnych toolsów, a przy odpowiedniej konfiguracji dla ID CPU i dysków staje się dla malware maszyną "rzeczywistą". RE: Any.Run - interaktywne narzędzie analizy szkodników - tachion - 10.03.2018 [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Można dodać jeszcze z apek: x64dbg, APIMonitor Do większości przypadków wystarczy procmon+reguły |