2018-03-08 セキュリティニュースまとめ: ロシア発マルウェア解析用サンドボックス公開 コミュニティ版は機能制限はあるが無料で利用可
記事
記事で言及されているサービス Any.Run
Any.Run とは何か
- マルウェア解析用サンドボックスで、自動化されたものとちがい、サンドボックス上でマウスのクリックなどのインタラクティブ操作が可能
- コミュニティ版が無料で公開された
- コミュニティ版では 16MB までの検体ファイルを 32-bit 版の Windows 7 OS 上で実行・解析できる
- コミュニティ版以外の有料プランは 3 種類あり、順次公開予定
サイトの FAQ より
サービス
全体について
ANY.RUN って何?
ANY.RUN でどんなことができるの?
- 新しい(未知の)悪意のあるオブジェクトを詳細分析を手軽に行えるし、サイバー侵害事件の調査にも利用できる。
ANY.RUN は誰が利用することを想定しているの?
- 個人リサーチャー、会社や企業、セキュリティ部門、CERT、CIRT、SOC、IR などで、自動化サンドボックスでは不十分と感じている方。 Among our users, there are individual researchers, businesses, corporations, security departments, CERTs, CIRTs, SOCs, and IRs and those, for whom automatic sandbox is not enough.
他のサンドボックスサービスとどう違うの?
- インタラクティブに分析を行えるのが強み。最終的にはタスク実行中に解析の全情報を提供したい。
分析機能について
ANY.RUN が分析可能なコンテンツの種類は何?
どんな OS をサポートしているの?
- Windows OS の Windows XP から Windows 10 まで、32 ビット版、64 ビット版をサポート(筆者注記: コミュニティ版は Windows 7 32-bit 環境のみ)。
ANY.RUN で分析する内容って?
同一ファイルを何度も調査できる?
- できる。対象ファイルを新しいタスクで再実行すれば良い。
どうやってゲスト OS とインタラクティブにやりとりするの?
- タスクがインタラクションに対応しているので開始したらいつでも介入できる。実際の PC 上でやるときのように操作すればよい。
ANY.RUN にはアーカイブをアップロードできる?
タスク実行中にファイルを再度開くこともできる?
- できる。実際の PC 上でやるときのように操作すればよい。
タスク実行中にシステムを再起動することはできる?
- できる。再起動はサポートされている (有料機能)
インストール済みのソフトにはどんなものがある?
- タスク実行前にゲスト OS にインストール済みのソフトは 3 種類。[Pre-installed soft set] で設定。
- [Clean]: インストール済みのソフトウェアなし
- [Office]: OS に Microsoft Office がインストールされている
- [Complete]: OS に、Microsoft Office、ブラウザ、スカイプなど、一般的ユーザーが利用する標準的なソフトがインストールされている
- タスク実行前にゲスト OS にインストール済みのソフトは 3 種類。[Pre-installed soft set] で設定。
SMART タイムアウトって何?
- SMART タイムアウトは時間制限なしで利用するための機能。タスクはシステムを 30 秒間使わなかった場合や重要なイベントが発生しないときに自動的にオフになるため (有料機能)
ファイルが正常に実行されませんが?
- ANY.RUN はリアルタイムかつインタラクティブなサービスなので、実際の PC 上でやるようにユーザー自身がファイルを実行する必要がある。
- 拡張子が正しくないケースも考えられる。その場合、タスクの設定メニューにある拡張子を実際のタイプに変更するオプションを利用する。
- 対象ファイルが 32-bit 版 OS、64-bit 版 OS など実行環境と合致しているかどうかも確認すること。
特定タスクで他の人とコラボすることはできる?
- タスク実行前にチームワーキングモードを利用すればコラボレーションは可能。コラボしたい人に共有用リンクを送付すればよい。
レポート機能について
どんなレポートフォーマットがあるの?
- 現時点では、PCAP、JSON、PDF フォーマットを用意している。
想定されているソフトでファイルが開かないが、どうしたら変更できる?
- 選択したタスクにソフトがインストールされていない可能性があるので、ゲスト OS の種類で「Complete」を選ぶか、必要なソフトをインストールする。
- アップロードされたファイルの拡張子に問題があることも考えられるので、ファイルの種類と拡張子の種類が合致しているか確認し、合致していなければ変更する。
既知のウイルスについての悪意のある活動がレポートに含まれないのはなぜ?
Verdict (判定) って何?
- Verdict はタスク実行中に発生したユーザアクションを含む全イベントから出された結論を述べたもの。
料金プラン、仕様
注意事項
- テストで利用する場合、機密事項の含まれているファイルなどは使用しないこと。検体はコミュニティで共有されます。