-
-
[翻译]我如何使用app.any.run
-
发表于:
2019-9-5 15:52
19828
-
样本分析中,app.any.run在线沙箱可以进行交互与下载样本,个人使用的频率还是很高的,所以本文对它的使用做一点介绍,以下为翻译文章,今后有相关的使用技巧也会更新在此文章中。
下面正文开始
Any.Run是一个相对较新的在线沙箱分析系统,用于运行分析可疑的可执行文件或访问可疑的站点,并记录系统和网络级别的活动。这项服务的创建者给用户提供了一个免费版本,但也提供了大量的功能。有一个订阅服务可以解锁更多的功能,但是对于个人使用,免费版本已经足够了。在这篇文章中,我将分享下使用这个强大工具的两种不同方式。
使用Any.Run的第一种方法是使用其他人提交运行的公共任务来研究威胁情报。在该工具的免费版本中,所有的提交结果都是公开可见的,也可下载样本。这使得Any.Run成为构建OSINT的一个非常有价值的工具。我使用这些公开的提交任务来识别恶意软件,提取IOC和BOC,并识别威胁趋势。在主页上单击public submissions的图标,可以查看到公开的提交任务。当人们提交样本进行分析时,此列表会实时更新。使用哈希搜索栏右侧的过滤器图标可以缩小搜索的范围。
例如,如果我在监控或搜索时看到可疑域名,我可以使用上面的过滤条件查找到现有的公共样本。或者如果我对像Ursnif这样的特定恶意软件感兴趣,可以通过将其名称放在标签中搜索。但是,如果我只想单纯地查看下威胁情况,我会将过滤条件设置为恶意,并从最后一两天开始滚动查看样本。当然也可以寻找威胁标签,找到相同威胁家族的三到四个样本,以便更好地了解它们的任何变化。
第二种使用Any.Run的方法是进行分析。如果你无法找到现有样本,则可以提交URL或文件对它进行分析。在创建免费帐户后,单击“New Task”。可以选择操作系统的基本模式,然后提供URL或上传要运行的文件。如果想进行任何调整,例如UAC自动确认,防逃逸,浏览器的类型以及Fakenet或Tor使用,可以直接选择,但是灰色选项显示的功能则需要进行订阅才可使用高级服务。
设置完所有内容后,单击“Run”。然后,将观看到恶意软件的实时执行或访问之前输入的任何URL。会话将以显示任务结果结束,浏览器栏中列出的网址现在可以保存在调查说明中作为参考或与他人共享。值得注意的是,在免费版本中,所有运行的任务都是公共任务,这意味着其他人都可以看到结果。因此,请勿运行任何恶意软件或访问可能针对自己的组织的任何网站,否则可能会泄露敏感信息。此外需要注意两件事:会话超时和用户所需的交互操作。
默认情况下,Any.Run仅运行虚拟机60秒。在分析运行时,可以单击右上角的“Add 60s”再添加60秒。不过只有几次可以使用延长时间的机会,这很重要,因为某些时候下载需要一段时间,或者恶意软件作者会使用延迟技术来逃避自动沙箱分析引擎。还有就是可能想要添加时间的另一个原因是当前需要执行用户交互操作。
在分析过程中,鼠标和键盘是可以在显示的虚拟机中使用的,有时尝试分析的恶意软件或网站将要求分析者执行某些操作。例如,压缩的文件里可能包含多个文件,需要选择要运行的文件。或者网络钓鱼站点可能会请求分析者(希望)继续通过登录屏幕里出现的虚假站点。请注意这些类型的操作,并准备好在需要时延长会话的时间。
无论是找到现有样本还是创建自己的样本,现在都可以轻松获得大量的信息。虽然我不会涉及Any.Run分析结果界面的各个方面,但我会解释我经常使用的部分。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
最后于 2019-9-7 15:44
被jishuzhain编辑
,原因: