• XSS.stack #1 – первый литературный журнал от юзеров форума

malware any.run

Отслеживать
CKAP

CKAP

RAID-массив
Пользователь
Регистрация
26.10.2018
Сообщения
85
Реакции
166
Среда для выполнения и анализа зловредов с возможностью записи сессии.
Сам есче не тестил, и относительно не давно узнал о существовании этого софта, так сказать делюсь инфой.
Ееси кто юзал, отзывы приветствуются.
---------------------------------------------
Почитать https://any.run
Рега https://app.any.run/#register
----------------
Примеры:
https://app.any.run/tasks/32186bb2-60c2-4980-8bf8-4b2742697df4
https://app.any.run/tasks/266ab3c4-c346-4f5b-813b-d5e82ea67aed
---------------------------------------------------------------------------

 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Не так давно узнала о данном сервисе, попробовала и воть что могу сказать.
Несмотря на цену за полный пакет в 250$/mo. по функционалу это на голову выше всего того я видела раньше в подобных сервисах, а если учесть что еще видео пишут - это вообще просто нечто.
Пока на мой вопрос о том - уходят ли куда-то сэмплы - получила ответ, что в версии Hunter сливов нету - хотя я конечно не могу этому верить на 100%.
В любом случае это очень интересное решение для теста сторонней малвари и ее полуавто анализу.
Еще из положительных сторон заметила увеличенный на 600+ секунд таймаут работы - что позволяет поймать некоторых "умников" что ставят слипы на 300 сек :D
 
Похожий сервис - Hybrid Analysis. Помимо анализа вредоносного ПО (на базе Falcon Sandbox от CrowdStrike) умеет поиск по Indicators of Compromise (IOC), правилам YARA и поиск значений строк в HEX и ASCII.

Если интересно, можно самому поднять сервис Cuckoo Sandbox, чтобы знать наверняка, что образцы вредоноса не уходят третьим лицам. Но неподготовленному пользователю (как я :)) это может показаться сложным. Поэтому можно воспользоваться "публичными" песочницами, они легко находятся через Shodan - https://www.shodan.io/search?query=Server:+Machete+Server

Также стоит упомянуть сервис Manalyzer для статического анализа PE-файлов. Исходный код сервиса есть на GitHub, по уверждению автора ANY.RUN использует его наработки.
 
Последнее редактирование:
По поводу Cuckoo Sandbox, то для тестирования чужого ПО оно подходит идеально, однако в большинстве случаев виртуалку нужно патчить.
Дело в том, что Cuckoo Sandbox не имплементирует evasion-техники, которые используются в ПО, так что это остается на нас.

Хорошо, что в данном случае есть side-проекты, которые помогут немного упростить данный процесс.
https://github.com/CheckPointSW/InviZzzible
 
Отличный сервис по глубокому (эт что?))) анализу вредоносного ПО - https://www.joesandbox.com/
Из приемуществ (бесплатной версии) :
  • сохранение отчетов (PDF, HTML)
  • сохранение PCAP
  • анализ зловредов в Android 5.0 (помимо Windows 7 32bit)
из минусов - регистрация, похоже, проверяется в ручную. Не дождался письма с подтверждением.

Сервис Intezer принимает к анализу исполняемые файлы Windows (*.exe, *.dll, *.sys), а также ELF-файлы 32bit и 64bit.
По итогу анализа выдает стильный отчет (увы, без возможности сохранения)

1549340379400.png
 
jeffTheInn0 сказал(а):
По поводу Cuckoo Sandbox, то для тестирования чужого ПО оно подходит идеально, однако в большинстве случаев виртуалку нужно патчить.
Дело в том, что Cuckoo Sandbox не имплементирует evasion-техники, которые используются в ПО, так что это остается на нас.

Хорошо, что в данном случае есть side-проекты, которые помогут немного упростить данный процесс.
https://github.com/CheckPointSW/InviZzzible
вау
 
Приятно удивил сервис от Checkpoint - песочница Sandblast Analysis.

2845


Качественные отличия от app.any.run:
  • отчет о действиях вредоноса можно скачать в нетекстовом виде
  • запуск зловреда производится на двух платформах (Windows XP и Windows 7) с записью видео
  • время запуска вируса более 60 секунд (в отличие от бесплатного аккаунта app.any.run)
Для сравнения отчеты выданные на одинаковый файл:

https://app.any.run/tasks/e0d9ff06-1aeb-42dc-9f1c-8c3ae8afbdd7

2846


Отчет от Checkpoint:

2848
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх