• Home
  • About
    • S.Furkan Kayar Kişisel Blog photo

      S.Furkan Kayar Kişisel Blog

      Siber Güvenlik ve Bilgi Teknolojilerine dair yazı ve paylaşımlar..

    • Learn More
    • Twitter
    • LinkedIn
    • Instagram
    • Github
  • Posts
    • All Posts
    • All Tags
  • Projects

Interaktif Malware Analizi - Any.Run

14 Jul 2019

Reading time ~3 minutes

Bu yazıda interaktif malware analiz servisi olan Any.Run sitesini inceleyeceğiz.

Rusya merkezli Any.Run web servisi 2016 yılında güvenlik araştırmacısı Alexey Lapshin tarafından kurulmuş, Mart 2018 de public olarak sunulmuştur.

Any.run gerçek zamanlı bir ortamda interaktif olarak her türlü içeriği(exe,js,pdf,office dosyaları,mail,script,URL) çalıştırıp analiz edebilmenizi sağlar. Diğer analiz araçlarından ayıran özelliği etkileşimli olmasıdır. Bu özellik, “saldırıya uğramış makinede olma” hissini elde etmenizi sağlar. İlgili dosya yada URL’i çalıştırdığınızda any.run size etkileşimde bulunabileceğiniz bir Windows arayüzü sağlar.

Bu arayüz sayesinde araştırdığınız dosya ya da URL üzerinde interaktif bir şekilde çalışırken any.run gerçek zamanlı olarak(görevin bitmesini beklemeden eş zamanlı olarak) create edilen process’leri,çalışan servisleri,kayıt defteri etkinliklerini,ağ isteklerini raporlar ve arayüzü vasıtasıyla ayrıntılı olarak analiz etmenizi sağlar.

Any.run’ı kullanabilmeniz için ücretsiz bir üyelik açmanız gerekiyor. Araştırmacı ve tehdit avcıları için 2 farklı ücretli planda sunmakta. Fakat free versiyonunun yetenekleri oldukça yeterli.

Ücretli versiyona neden ihtiyaç duyabilirim?

Kurumsal bir şirkette çalışıyor ve şirket içi(private) bir dosyanın analizini yapmak istiyorsanız public hizmet veren bu tür servisleri kullanmamamız önerilir. Any.run free versiyonunda public hizmet vermektedir ve dosyanızın public olmayacağının garantisini veremez. Fakat ücretli üyelikle birlikte sizin için private bir ortam sağlanıyor. Bunların dışında aşağıdaki tabloda ücretli versiyonların avantajlarını görebilirsiniz.

Ücretsiz versiyonda;

  • Windows 7(32 bit) işletim sistemi üzerinde interaktif bir ortam sağlar.Win 7 ve sonrası,64 bit desteği yok.
  • Default olarak 60 sn task’ı çalıştırmanıza izin veriyor. Fakat bu süre bitmeden 360 sn’ye kadar task’ın süresini uzatabilir ve analizi devam ettirebilirsiniz.
  • Upload edip çalıştırabileceğiniz max. dosya boyutu 16 MB. Daha yüksek boyutlu dosyalar için; indirebileceğiniz bir URL var ise bu URL’i task’da çalıştırıp indirebilir ve interaktif ortamda çalıştırabilirsiniz. Tabi free versiyonda max. 60 sn + 360 sn task süremiz olduğu için bu süre zarfında indirip-çalıştırabileceğiniz bir boyutu geçmemeli :)
  • Pcap dosyası gibi süreç içinde elde edilen çıktılar için “5 requests per minute” sınırı konulmuş.
  • Farklı tarayıcılarda(IE,Chrome,Firefox,Opera) URL analizi imkanı sağlar.(Güncel exploit kit’leri farklı tarayıcılarda farklı sonuçlar üretebiliyor,bu nedenle alternatifli çalışmakta fayda var)
  • Mitre ATT&CK desteği ( Tehditin yapısını ve tekniğini görebilmemiz açısından önemli)
  • Process graph desteği ( Analiz sırasında process ekranında parent ve child process’leri görebilsek de grafik arayüzünde başlatılmakta olan dosyanın türü,enjeksiyonun yönü gibi ek bilgileri görebiliyoruz.
  • Free versiyonda trafiği analiz etmek için Suricata IDS kullanılmakta. Proofpoint ve Positive Technologies gibi sağlayıcılardam faydalanmak için ücretli versiyon gerekiyor.

Free - searcher - Hunter üyelik Karşılaştırma tablosu

Any.run sıkıştırılmış dosyaları da analiz edebilmenizi sağlar. Bu özelliği gerekli durumlarda birden fazla dosyayı tek bir görevde çalıştırmak için de kullanabiliyorsunuz. Ancak analizin sağlığı açısından her zaman önerilmiyor.

Any.run makro virüslerini analiz etmede de kullanışlıdır. Şüpheli office dosyasını interaktif olarak çalıştırıp sonuçlarını gözlemleyebilirsiniz.

Sitenin sol menüsünde yer alan Public submissions bölümünden Public olarak paylaşılan/analiz edilen örnekleri de fikir vermesi açısından inceleyebilirsiniz.

Any.Run

Üye olduktan sonra app.any.run üzerinden arayüze erişebilirsiniz.

Sol üst kısımda bulunan New Task seçeneğine tıklayarak başlayalım.

Analiz etmek istediğiniz dosyayı ya da URL’yi belirtip Run butonuna tıklayarak görevi başlatabilirsiniz. Ayrıca ayrıntılı seçenekler için Advanced mode butonuna tıklayalım.

Advanced mode seçeneğinden URL’nin çalışmasını istediğiniz tarayıcıyı, dosyanın hangi işletim sisteminde çalışacağı,görevin süresi gibi seçenekleri ayarlayabilirsiniz. Tabi free versiyonda birçok seçeneği kullanamadığımız için burayı hızlıca geçiyorum.

Run butonuna bastığınızda görev başlatılır. Karşımıza çıkan arayüzden etkileşimde bulunarak dosyanızı ya da URL’nizi interaktif bir şekilde analiz edebilirsiniz.

Sağ bölümde çalışan process’leri inceleyerek çalıştırdığınız dosya ya URL’in sisteminizdeki yansımalarını görebilirsiniz. Aynı şekilde Process bölümünün üstünde yer alan buttonlar yardımıyla; Dosya örneklerini indirebilir(Sample),tespit edilen IOC verilerini toplu halde listeleyebilir(IOC),görevi yeniden çalıştırabilir(Re-run),raporu pdf olarak elde edebilir(Text report),process’leri grafik halinde inceleyebilir(Processes graph), Mitre ATT&CK eşleşmelerini görebilirsiniz.(ATT&CK™ matrix)

Arayüzün alt kısmında bulunan 4 sekmede ;

HTTP REQUESTS : Çalıştırılan dosya/URL’in http isteklerini görebilirsiniz. Burada malware’lerin C&C sunucusu olarak iletişim kurduğu domainler olabilir.

CONNECTIONS : Bu kısımda yine connection kurulan data flow’ları - trafik incelenip iletişim kurulan IP/domain hakkında kanıtlar toplanabilir.

DNS REQUESTS : DNS sorguları bu ekrandan görülebilir.

THREATS : Suricata IDS’in tespit ettiği malicious aktiviteler burada görülebilir. Burası analizin bir nevi sonuç kısmıdır.

FILES MODIFICATION : Çalışan process’lerin sistemde create ettiği dosyaları/çalıştırdığı uygulamaları bu kısımdan ayrıntılı inceleyebilir,ayrıntılı inceleme için download edebilirsiniz.

Any.run üzerinde örnek bir malware incelemesini yazı uzadığı için bir sonraki post’a bıraktım. Görüşmek üzere..


online malware analysis toolmalware analysis Share Tweet +1