Any.Run - интерактивный инструмент анализа вредоносных программ

[AlexLES]

На просторах всемирной паутины наткнулся на интересный сайт https://app.any.run/, который позволяет любому пользователю запустить свой файл в их песочнице, тем самым осуществить анализ событий, которые происходят во время выполнения файла.

Спойлер: Главная страница сайта

Но так как мы находимся по ту сторону баррикады то больший интерес представляет возможность наблюдать за поведением вредоносных фалов, загруженных другими пользователями. Для этого необходимо перейти в публичные задачи (Public tasks) где будет список уже проанализированных файлов.

Спойлер: Список публичных заданий

Дальше находим наиболее понравившийся нам вирус и анализируем его поведение, черпая для себя наиболее интересные моменты и принимая их на вооружение. Для более детального анализа "понравившийся" файл можно скачать и продолжить его подробный анализ.
P.S. Мне особенно интересно было анализировать сетевую активность, куда и как приложение стучится или отправляет результаты своей работы.

 

[Bozon]

Прикольная система, кто-нибудь анализировал что у них под капотом ?
То есть WinAPI вызовы отслеживаются простым сплайсом или перехват на уровне ядра ?
Либо все сложнее и через гипервизор логгирование?
Кто авторы продукта - антивирусная компания ?

 

[ijoaos]

Прикольная система, кто-нибудь анализировал что у них под капотом ?

Как эти https://www.hybrid-analysis.com/ только с возможностью загрузки семплов по хешу/названию (подгон для реверсеров).

Кто авторы продукта - антивирусная компания ?

Вроде да. Если бесплатно льешь семплы, то скидывает ав.

 

[demu]

Прикольная система, кто-нибудь анализировал что у них под капотом ?
То есть WinAPI вызовы отслеживаются простым сплайсом или перехват на уровне ядра ?
Либо все сложнее и через гипервизор логгирование?
Кто авторы продукта - антивирусная компания ?

Гипервизор у них, очевидно. Бит гипервизора пропатчен, через cpuid не спалить, но они энивей долбаебы конченые. Автор продукта хер с экспы с ником Any.Run. Напиши и спроси. Помоему это ебанутый частник, который решил сделать аналог динчека, но подумав, открыл сервис для аверов. Почти все рандомится, NetworkAdapter, Bios Serial Number, volume serial, etc
кроме...
вертим на хую эни.ран(tm):

https://xss.pro/threads/27078/

 

[Bozon]

Гипервизор у них, очевидно. Бит гипервизора пропатчен, через cpuid не спалить, но они энивей долбаебы конченые

https://xss.pro/threads/27078/

Qemu, VirtualBox ?
Вообще интересная наработка, на поток поставили - а профит какой с этого ? Типо планы продают без лимитов ?
И еще - как они избегают создания снимков сигнатурных их систем или там рандомизация теперь ?
Прочитал статью - получается софт-логгер висит в гостевой вмке как в cuckoo sandbox, интересно дампил ли кто его... :smile94:

 

[demu]

Qemu, VirtualBox ?
Вообще интересная наработка, на поток поставили - а профит какой с этого ? Типо планы продают без лимитов ?
И еще - как они избегают создания снимков сигнатурных их систем или там рандомизация теперь ?
Прочитал статью - получается софт-логгер висит в гостевой вмке как в cuckoo sandbox, интересно дампил ли кто его... :smile94:

Да, у них различные планы, можешь на сайте глянуть. Там раньше можно было бесплатно качать сэмплы, это был подарок какой-то. Сейчас и это убрали. То ли регаться нужно, то ли акк регать, хз - не проверял.
Не проверял обновили они или нет, можно проверить, зарегавшись даже на бесплатной версии. Вытащить просто на файлообменник winandr и все. Там на самом деле еще много говна статичного есть. Можно делать хэш-слепок установленного софта и имен ярлыков + Recent и тд, в общем стандартно все.

Непонятно зачем там вынандр, там ничего по сути нет. Может это вообще legacy из alpha версий. Я его видел еще в начале 18 года, когда ани ран только появился. ты по сути можешь поставить драйвер и сдампить весь RAM и потом сделать форензик экспертизу через volatility. Но я так далеко не заходил, они не слишком меня заебывают своим сервисом.

 

[Bozon]

Да, у них различные планы, можешь на сайте глянуть. Там раньше можно было бесплатно качать сэмплы, это был подарок какой-то. Сейчас и это убрали. То ли регаться нужно, то ли акк регать, хз - не проверял.
Не проверял обновили они или нет, можно проверить, зарегавшись даже на бесплатной версии. Вытащить просто на файлообменник winandr и все. Там на самом деле еще много говна статичного есть. Можно делать хэш-слепок установленного софта и имен ярлыков + Recent и тд, в общем стандартно все.

Непонятно зачем там вынандр, там ничего по сути нет. Может это вообще legacy из alpha версий. Я его видел еще в начале 18 года, когда ани ран только появился. ты по сути можешь поставить драйвер и сдампить весь RAM и потом сделать форензик экспертизу через volatility. Но я так далеко не заходил, они не слишком меня заебывают своим сервисом.

Благодарю за идею, надо будет попробовать это провернуть - надеюсь авторы не читают нас :smile46:
И все же, практически(или теоретически) как такой сервис может помешать работе?

 

[Apocalypse]

как такой сервис может помешать работе

Ресерчеры ща ленивые, тупо заливают семпл, снимают урлы/индикаторы заливают это все в антивирусы и прочие яры, потом обмазываются и ябуцо в жеппы.

 

[demu]

Ресерчеры ща ленивые, тупо заливают семпл, снимают урлы/индикаторы заливают это все в антивирусы и прочие яры, потом обмазываются и ябуцо в жеппы.

У меня совсем недавно дга был кстати, я то думал ща как в старые времена (времена ZeroAccess и прочих приколюх) seed добавят в ICANN и я не смогу регать домены. х#й там, они на все домены тупо сигнатуры повесили. Даже на легитимные. Дауны блядь. Причем абуза ни разу не притетела никуда. Им тупо лень реверсить алгоритм и искать живые домены

 

[keepallrights]

Скорее всего, проект с целью бесплатного использования совместных усилий(синергии) сообщества в собственных целях, в том числе исследовательских, а также разведывательных.