近日,名为Any.Run的交互式恶意软件分析沙盒服务宣布,其免费社区版本正式向公众开放。这样一来任何人只需简单的注册一个账号,就可以使用该平台实时的对某个特定文件进行交互式的分析。

Any.Run项目最早是由安全研究员Alexey Lapshin于2016年创立的。目前,该项目主要由团队五名致力于改进平台的专职开发人员共同负责。

Any.Run与其他沙盒分析工具的主要区别在于,Any.Run是完全交互式的。这意味着使用Any.Run你可以上传文件,并在分析文件的同时与沙箱实时交互,而不是传统的上传文件然后等待报告。除此之外的另一大好处就是,Any.Run允许你上传需要点击按钮,启用内容或宏的恶意文档程序。

例如,你想分析一个广告软件包,但安装前需要你手动点击确认各种安装提示。那么Any.Run可以做到这一点。

此外,Any.Run还向我们透露,该服务并不适用于“不需要用户干预的大规模检测,以及深入研究线程和执行的进程代码。“相反,它适用于想要分析需要用户交互的恶意软件,或攻击媒介,新漏洞攻击的PoC和多组件漏洞利用攻击包。

使用Any.Run分析文件

Any.Run的使用非常简单。

首先,你需要创建一个新任务,然后选择要分析的文件或URL,为沙盒选择操作系统(Windows 7/8.1/10),要使用哪些连接选项,应该预装哪些软件 ,以及交互式会话应持续多长时间。

准备就绪后,点击运行按钮。 然后,Any.Run将构建配置的环境,显示可与之交互的沙箱环境,启动所请求的程序。

现在,你可以与桌面进行交互,点击按钮,打开开始菜单,用户浏览器,打开注册表编辑器,打开任务管理器,并像往常一样运行应用程序。不同的地方在于沙箱将记录所有网络请求,进程调用,文件活动和注册表活动,如下图所示。

通过这种方式,你可以实时的查看任何的网络请求,正在创建的进程以及文件活动。如果你想更进一步的了解网络请求情况,你可以点击它进行查看。

你还可以点击已启动的进程,并查看被修改的文件,注册表,使用的库文件等等。

正如你所看到的,使用Any.Run可以让你非常轻松地分析恶意软件样本,特别是当你需要某种交互时。

更多特性有待完善

尽管当前的沙盒组件运行看似很完美,但仍有许多不足之处。例如,目前没有办法生成特定会话的报告。根据Any.Run的说法,他们目前还没有一个准确的计划,因此该功能何时上线仍是个未知数。

其次,由于该开放版本为免费版,因此在使用上也存在诸多限制。例如,你不能使用64位的操作系统,限制了上传样品文件的大小以及与沙盒的交互时间。

为此,Any.Run为不同付费版本提供了定制化的服务,但具体价格尚未确定。

虽然有许多忠实的用户请求Any.Run尽快开放这些服务,但Any.Run向我们表示只有服务处于稳定状态后他们才会被添加。在此之前,用户仍将只能访问免费版,但这也足以应付日常的分析任务。

*参考来源:bleepingcomputer,FB小编 secist 编译,转载请注明来自FreeBuf.COM