Boisz się malware? Sprawdź podejrzany plik interaktywnym Any.Run

Ściągnąłeś podejrzany plik i nie chcesz ryzykować? Słusznie. Przed uruchomieniem go warto sprawdzić, czy nie został do niego dołączony malware. Można to zrobić korzystając z „piaskownicy” do interaktywnej analizy złośliwych programów o nazwie Any.Run.

Od wczoraj każdy może korzystać z publicznej wersji oprogramowania – wystarczy założyć konto i można przeprowadzić własną analizę w czasie rzeczywistym, nie narażając swojego systemu i nie instalując żadnych dodatkowych programów.

Any.Run różni się od innych piaskownic tym, że jest interaktywna. Oznacza to, że zamiast wysyłać tam znalezionego malware i czekać cierpliwie na raport można obserwować jego zachowanie w czasie rzeczywistym i wykonywać różne czynności. Dzięki temu można sprawdzić programy wymagające kliknięcia w określone miejsce, wyrażenie zgody, ręczne uruchomienia komponentu lub złośliwe dokumenty, czekające na załadowanie makra.

Korzystanie z Any.Run jest dość proste. By uruchomić analizę, należy najpierw wybrać parametry dla „piaskownicy”, a więc wersję systemu (Windows 7, 8.1 lub 10), typ połączenia internetowego, załadowane programy, czas trwania sesji i na koniec wskazać podejrzany plik lub URL do niego. Po uruchomieniu środowisko wykona wszystkie wskazane czynności i uruchomi złośliwy program, dając nam możliwość wchodzenia w interakcje z nim.

W oknie przeglądarki zobaczymy uruchomioną maszynę wirtualną ze wskazanym systemem. Można z niej korzystać niemal tak samo, jak z testowego systemu – działa menu Start, edytor rejestru, menedżer zadań i zainstalowane aplikacje. Maszyna rejestruje cały ruch sieciowy, zmiany w rejestrze, plikach, bibliotekach i wywołania systemowe. Interfejs narzędzia jest dość przyjazny i pozwala zarówno przeglądać szczegółowe dane, jak i szybko zorientować się, z jakim typem zagrożenia mamy do czynienia dzięki podsumowaniom.

Podczas analizy złośliwego programu w każdej chwili można wstrzymać jej działanie i sprawdzić, co się stało w systemie. W podsumowaniu zobaczymy aktywności podzielone na kategorie, co ułatwia zorientowanie się, jak działa badany malware. Cały zapis aktywności można ściągnąć w pliku do dalszego badania.

Środowisko nie sprawdzi się za to przy masowych, zautomatyzowanych kontrolach i szczegółowych badaniach wątków. Jego celem jest raczej poszukiwanie i badanie wektorów ataku lub bardziej złożonych pakietów, zawierających więcej niż jeden złośliwy komponent.

Any.Run w darmowej wersji ma pewne ograniczenia. Przede wszystkim nie pozwala korzystać z 64-bitowych systemów, ma ograniczenie rozmiaru pliku z próbką i maksymalny czas trwania sesji. Oferta komercyjna jest jeszcze dość uboga, ale będzie powiększana z czasem, cennik także będzie się zmieniał, w miarę jak projekt będzie „dorastał”. Jego autorzy zdają sobie sprawę, że środowisko nie jest jeszcze dostatecznie stabilne, by na nim zarabiać. Nad Any.Run pracuje obecnie 5 osób.