記事

www.bleepingcomputer.com

記事で言及されているサービス Any.Run

app.any.run

Any.Run とは何か

• マルウェア解析用サンドボックスで、自動化されたものとちがい、サンドボックス上でマウスのクリックなどのインタラクティブ操作が可能
• コミュニティ版が無料で公開された
• コミュニティ版では 16MB までの検体ファイルを 32-bit 版の Windows 7 OS 上で実行・解析できる
• コミュニティ版以外の有料プランは 3 種類あり、順次公開予定

サイトの FAQ より

サービス

全体について

• ANY.RUN って何?

  • インタラクティブにオンラインでマルウェアの解析を行うサービス。ほとんどどんな種類の脅威・OS にも対応し静的・動的両方の調査が行える。これまでの調査ツールを置き換えるサービス。

• ANY.RUN でどんなことができるの?

  • 新しい(未知の)悪意のあるオブジェクトを詳細分析を手軽に行えるし、サイバー侵害事件の調査にも利用できる。

• ANY.RUN は誰が利用することを想定しているの?

  • 個人リサーチャー、会社や企業、セキュリティ部門、CERT、CIRT、SOC、IR などで、自動化サンドボックスでは不十分と感じている方。 Among our users, there are individual researchers, businesses, corporations, security departments, CERTs, CIRTs, SOCs, and IRs and those, for whom automatic sandbox is not enough.

• 他のサンドボックスサービスとどう違うの?

  • インタラクティブに分析を行えるのが強み。最終的にはタスク実行中に解析の全情報を提供したい。

分析機能について

• ANY.RUN が分析可能なコンテンツの種類は何?

  • 開くことができれば基本どんな種類のコンテンツでも解析できる。例: 実行ファイル、Java ファイル、MS オフィス文書、PDF ファイル、スクリプト、メールなど。

• どんな OS をサポートしているの?

  • Windows OS の Windows XP から Windows 10 まで、32 ビット版、64 ビット版をサポート(筆者注記: コミュニティ版は Windows 7 32-bit 環境のみ)。

• ANY.RUN で分析する内容って?

  • 新しいプロセスを生成する、ファイルやレジストリの活動、ネットワークのリクエストなど様々なテスト内容をリアルタイムで分析して表示する。

• 同一ファイルを何度も調査できる?

  • できる。対象ファイルを新しいタスクで再実行すれば良い。

• どうやってゲスト OS とインタラクティブにやりとりするの?

  • タスクがインタラクションに対応しているので開始したらいつでも介入できる。実際の PC 上でやるときのように操作すればよい。

• ANY.RUN にはアーカイブをアップロードできる?

  • できる。アップロードされたアーカイブファイルはアーカイブユーリティで開かれるので、解凍・実行などを行えばよい。
  • 単一のタスクで複数のコンテンツを提出したい場合もアーカイブにして提供すればできるが、通常の手順で起動させたほうがより適切な分析結果を得やすい。

• タスク実行中にファイルを再度開くこともできる?

  • できる。実際の PC 上でやるときのように操作すればよい。

• タスク実行中にシステムを再起動することはできる?

  • できる。再起動はサポートされている (有料機能)

• インストール済みのソフトにはどんなものがある?

  • タスク実行前にゲスト OS にインストール済みのソフトは 3 種類。[Pre-installed soft set] で設定。
    • [Clean]: インストール済みのソフトウェアなし
    • [Office]: OS に Microsoft Office がインストールされている
    • [Complete]: OS に、Microsoft Office、ブラウザ、スカイプなど、一般的ユーザーが利用する標準的なソフトがインストールされている

• SMART タイムアウトって何?

  • SMART タイムアウトは時間制限なしで利用するための機能。タスクはシステムを 30 秒間使わなかった場合や重要なイベントが発生しないときに自動的にオフになるため (有料機能)

• ファイルが正常に実行されませんが?

  • ANY.RUN はリアルタイムかつインタラクティブなサービスなので、実際の PC 上でやるようにユーザー自身がファイルを実行する必要がある。
  • 拡張子が正しくないケースも考えられる。その場合、タスクの設定メニューにある拡張子を実際のタイプに変更するオプションを利用する。
  • 対象ファイルが 32-bit 版 OS、64-bit 版 OS など実行環境と合致しているかどうかも確認すること。

• 特定タスクで他の人とコラボすることはできる?

  • タスク実行前にチームワーキングモードを利用すればコラボレーションは可能。コラボしたい人に共有用リンクを送付すればよい。

レポート機能について

• どんなレポートフォーマットがあるの?

  • 現時点では、PCAP、JSON、PDF フォーマットを用意している。

• 想定されているソフトでファイルが開かないが、どうしたら変更できる?

  • 選択したタスクにソフトがインストールされていない可能性があるので、ゲスト OS の種類で「Complete」を選ぶか、必要なソフトをインストールする。
  • アップロードされたファイルの拡張子に問題があることも考えられるので、ファイルの種類と拡張子の種類が合致しているか確認し、合致していなければ変更する。

• 既知のウイルスについての悪意のある活動がレポートに含まれないのはなぜ?

  • ANY.RUN はリアルタイムでインタラクティブに解析を行うサービスで、ファイルそのものを分析するのではなく、タスク実行中に発生したイベントを分析することに注意。
  • 可能性があるのはタスク実行中にマルウェアが悪意のある活動を行わなかったケース。たとえば「休眠」するタイプのマルウェアでは、ある一定時間が経過しないと活動しない場合があり、必要な時間が経過していなかったなど。
  • マルウェアの中には自分自身を隠そうとしているケースも (Route privacy via TOR オプションを利用してみる)。
  • あるいは正常に実行できなかったのかも。

• Verdict (判定) って何?

  • Verdict はタスク実行中に発生したユーザアクションを含む全イベントから出された結論を述べたもの。

料金プラン、仕様

注意事項

• テストで利用する場合、機密事項の含まれているファイルなどは使用しないこと。検体はコミュニティで共有されます。