Any.Run - interaktywne narzędzie analizy szkodników
#1
Możliwe, że kogoś taka informacja zainteresuje, bo niektórzy z nas...użytkowników forum i jego czytelników...zajmują się analizą malware amatorsko lub profesjonalnie. Wczoraj na Bleepingcomputer poinformowano, że bazujące na piaskownicy narzędzie analizy szkodników pod nazwą Any.Run zostało udostępnione publicznie i zyskało tym samym możliwości dostępne za darmo...wystarczy zarejestrować się i założyć konto, by uzyskać dostęp do unikalnego narzędzia. Wg autora informacji różni się ono od innych m.in tym, że
- po przesłani pliku do analizy nie czeka się na zbiorczy raport, ale informacje nadchodzą w miarę postępu analizy
- pozwala to więc na interakcję analizy z użytkownikiem, jeśli konieczne są jakieś jego działania typu uruchomienie makr, wydanie zezwolenia, itp.
Serwis jest rosyjski, co może budzić wątpliwości u niektórych, ale ze względu na źródło informacji oraz statystyki na stronie głównej widać, że obawy są chyba nieuzasadnione.

Screeny za info z BC - na pierwszym porównanie wersji serwisu i tym samym dostępnych możliwości

[Obrazek: price-tiers.png]

[Obrazek: new-task.jpg]


[Obrazek: monitor-activity.jpg]

Dokładny opis z krótkim przewodnikiem i przykładami

[Aby zobaczyć linki, zarejestruj się tutaj]


Strona Any.Run

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Świetnie to wygląda. Niestety bardzo mi to przypomina piaskownicę Cuckoo Sandbox, ale w wersji mocno przebudowanej pod kątem frontend-u. Mogę się mylić, ale że posiadam spore doświadczenie w pracy z Cuckoo Sandbox od strony backendu, to widzę, że większość rzeczy jest podobna - od wybierania systemu, po szczegóły techniczne IoC oraz wypluwane raporty z analizy. Niemniej, aby osciągnąć taki efekt jak widać potrzeba ogromu pracy i bardzo dużego doświadczenia w Pythonie. Zresztą, VirusTotal także korzysta z Cuckoo Sandbox i też w wersji niemal nie od odróżnienia, więc nie jest to powód do wstydu. Aczkolwiek spodziewałem się ujrzeć coś bardziej unikalnego Smile

I taką usługę można już sprzedać, bo do samej analizy dla użytkowników to tego produktu na pewno nie wypuścili Smile
Odpowiedz
#3
Dzięki za uwagi, bo na pewno masz doświadczenie w tej dziedzinie...może się skusisz na wypróbowanie?...wtedy poczekamy na szerszy komentarz Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Tylko pod jakim kątem porównywać, bo każdy ma inne preferencje i do czegoś innego wykorzystuje takie sandboxy. Jednym z minusów piaskownicy do analizy malware jest to, że właściwie nie wiemy, z jakiego rozwiązania "w środku" korzysta deweloper, więc tak naprawdę nie da się stwierdzić bez dokładnego porównania, czy ów maszyny Windows są dobrze "zabezpieczone" przed technikami stosowanymi przez malware do wykrywania środowiska wirtualnego. Dlatego też czasami malware może nie robić zupełnie nic w VM-ce, a taki system "rzeczywisty" będzie infekować. Załączam lekturę, która jest ciągle aktualna pod tym kątem dla różnych hiperwizorów. Takim rozszerzeniem załączonego PDF-a są aplikacje Pafish:

[Aby zobaczyć linki, zarejestruj się tutaj]

i Al-Khaser

[Aby zobaczyć linki, zarejestruj się tutaj]

Zasadniczo powinniśmy uzyskać wszystko na "zielono", ale nie zawsze jest to możliwe nawet w systemie rzeczywistym, bez grzebania w bebechach systemu.

Da mnie ważne jest środowisko w jakim uruchamiamy szkodnika, aby było jak najbardziej aktualnie, przynajmniej w kontekście systemu operacyjnego, dlatego Windows 10 to konieczność. Jeżeli chcemy dowiedzieć się, co konkretnie robi wirus nie zawsze jest to najlepsze wyjście, ale z mojego punktu widzenia, gdzie interesuje mnie też skuteczność AV, to właśnie Windows 10 stanowi bazę do analizy.

Piaskownice, z których korzystam to:
  • Moja własna, zbudowana na Windows 10 x64 i Vmware z zainstalowanymi skryptami do śledzenia malware oraz aktywności antywirusów, posiłkująca się dodatkowo WIndows Event (i którą wykorzystamy przy projekcie, który jest w budowie (można taką niewielką informację o tym znaleźć na portalu wiadomo jakim)). Wymaga hosta Linux, bo tutaj są przesyłane logi z Windows i odpowiednio parsowane przez skrypty.
  • Przy manualnej analizę posiłkuje się też

    [Aby zobaczyć linki, zarejestruj się tutaj]

    bo zawiera wiele szczegół technicznych, ładnie poukładanych dla odbiorcy – człowieka.
  • Czasem używam piaskownicę online od projektu Cuckoo Sandbox

    [Aby zobaczyć linki, zarejestruj się tutaj]

    ale od jakiegoś czasu jest offline.
  • VirusTotal najmniej, bo zawiera niezbyt wiele szczegółów z analizy, ale jest dobrą bazą do wyszukiwania próbek po sumach kontrolnych.
  • Pewnie coś tam jeszcze by się znalazło, ale teraz sobie nic nie przypominam.
Bardzo podoba mi się rozwiązanie producenta Vmware: vmray. Przykładowa analiza:

[Aby zobaczyć linki, zarejestruj się tutaj]

w którym maszyny VM są oparte o vSphere. Ten hiperwizor pozwala uzyskać dostęp do systemu przez API na poziomie ring(-1), więc nie wymaga instalowania żadnego agenta pokroju Vmware tools lub dla VirtualBox Additional tools (tak to się nazywało?). I tak naprawdę dzięki API, konsola może wyrzucać tony informacji z systemu bez dodatkowego oprogramowania „w środku” Windows. Oczywiście trzeba je jeszcze poddać stosownemu sortowaniu i parsowaniu. Jest to najbardziej korzystne z punktu analizy malware, które posiłkują się technikami anti-anti-vm.

Innych produktów nie kojarzę. Na pewno są takie, równie ciekawe, np. Joe Sandbox, który też mi przypomina z opisów technicznych Cuckoo Sandbox… Tak naprawdę większość z tych dobrych jest płatna i wykorzystana raczej w środowiskach biznesowych jako dodatkowy "sandbox" dla nierozpoznanych plików.


Załączone pliki
.pdf   Anti-Sandbox wskazowki.pdf (Rozmiar: 413,61 KB / Pobrań: 280)
Odpowiedz
#5
No to sobie pogadaliśmy... Smile Jestem ciekawy jakie wy narzędzia i programy stosujecie do analizy malware?
Odpowiedz
#6
VMware
2x UDOO / 1 Rasberry PI - gdzie gości Slackware i mini windows 7 i ofc narzędzia.

W skład narzędzi wchodzi
Hiew , IDA
Spyware Process Detector (taki tam ruski wynalazek Tongue)
Pakiet narzędzi od M$ Sysinternals m.in System Explorer , SysMon, TCPView, Autoruns
Notepad++ (bo jam mam otwierać pliki w notatniku od M$ z większą ilością kodu to mnie krew zalewa)
DiskPulse (fajny program do monitorowania zmian w plikach)
WireShark
H.x.d - bo czasem hiew mnie irytuje. (musiałem wykropkować bo mi emotka sie odpala Grin)
dnSpy

I pare innych narzędzi ogólnie tego trochę jest u mnie ale nie zawsze korzystam z połowy tego co mam.. bo nie ma takiej potrzeba ale jak coś to warto po prostu być przygotowanym..

W porównaniu do kolego powyżej Ja zazwyczaj rzadko korzystam z mechanizmów w chmurze wole tradycyjnie Smile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#7
Kto co woli... Smile Może nie chodzi tutaj o tradycję, ale analizę manualną - automatyczną. Te dwie różnią się zasadniczo i automat nie daje takiej precyzji, jak manual. Niemniej, jeżeli nie wiemy początkowo czego szukać, to zawsze wybieram automat - albo w ogóle chcemy się szybko upewnić, czy plik jest na pewno złośliwy. No i zawsze mnie interesował temat automatyzacji testów AV, więc jakoś tak mam, że buduję środowisko wokół narzędzi, które dają się za pomocą API zautomatyzować (przede wszystkim Vmware i XenServer). VirtualBox w kontekście pełnej automatyzacji jest niestabilny, crashuje się często w losowych sytuacjach. Do jednej maszynki wystarczy, ale do wielu uruchomionych w jednym czasie to już nie. Tak czy owak co zrobimy potem z tymi logami to już kwestia drugorzędna. Często trzeba przekopać się przez "śmieciowe" informacje. Ale w manualu jest tak samo.
Odpowiedz
#8
Często to dłubanie na ślepo bo czasem jak mi znajomy podeśle próbkę i nic nie napisze to nigdy nie wiadomo czego można się spodziewać i należy sprawdzić wszystko pod każdym kątem a to jest bardzo czasochłonne i niektóre wpisy bardzo łatwo przeoczyć.

Kolejna sprawa to ewolucja wirusów po prostu są w stanie rozpoznać środowisko wirtualne lub dany program ochronny i pozostać w uśpieniu nie podejmując żadnej akcji.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#9
Dokładnie, dlatego automat nie załatwi sprawy, ale w pewnych warunkach sprawdzi się. Idąc z duchem czasu trzeba pamiętać, że istnieją rozwiązania dla Vmware i XenServer, które pozwalają na poziomie ring(-1) komunikować się z maszyną i przechwytywać zdarzenia, co w efekcie daje "wyższe" uprawnienia (taki super-super-admin) niż ring-0 w Windows. Wtedy taka VM-ka nie potrzebuje żadnych toolsów, a przy odpowiedniej konfiguracji dla ID CPU i dysków staje się dla malware maszyną "rzeczywistą".
Odpowiedz
#10

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Można dodać jeszcze z apek: x64dbg, APIMonitor

Do większości przypadków wystarczy procmon+reguły
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości