-
如果你要看某樣本分析報告:直接在any run里去搜索hash好了!!!
然后就可以看沙箱的詳細報告。
我們再看下,jossandbox也是非常好用啊。
在result界面搜hash即可。
回到any run。
比如,我分析wannacry后,看att&ck攻擊圖:
比如我想看,持久化里面的部分,點擊scheduled task:
然后,可以看到,wbengine.exe調用了一個com api實現了定時任務,然后到進程頁面看看:
的確就是他干的!看下more info:
看進程圖里這個進程是如何啟動的:
前面SER表示,是以服務的方式啟動的。。。
然后下面這個圖是說調用了com api,加入計划任務?沒看太懂。。。計划任務不是有執行周期啥的嘛,這個沒有。。。?
我們在看看text report也是非常友好的:
比如,行為分析部分就很詳細:
Behavior activities
下面是可疑的行為 最右邊是其他info輔助消息 這些都是確定惡意的 Application was injected by another process(是說進程注入) - svchost.exe (PID: 548)
- svchost.exe (PID: 924)
- SearchIndexer.exe (PID: 2796)
- svchost.exe (PID: 3884)
- wmiprvse.exe (PID: 3700)
- SearchIndexer.exe (PID: 2796)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- taskdl.exe (PID: 2468)
- taskdl.exe (PID: 3884)
- @WanaDecryptor@.exe (PID: 2964)
- @WanaDecryptor@.exe (PID: 2468)
- taskhsvc.exe (PID: 1548)
- taskdl.exe (PID: 4092)
- @WanaDecryptor@.exe (PID: 612)
- @WanaDecryptor@.exe (PID: 2508)
- taskdl.exe (PID: 1388)
- taskdl.exe (PID: 3188)
- @WanaDecryptor@.exe (PID: 648)
- taskdl.exe (PID: 3036)
- @WanaDecryptor@.exe (PID: 2524)
- @WanaDecryptor@.exe (PID: 2072)
- taskdl.exe (PID: 1200)
- @WanaDecryptor@.exe (PID: 2316)
- taskdl.exe (PID: 3452)
- SearchProtocolHost.exe (PID: 120)
- taskhsvc.exe (PID: 1548)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- cmd.exe (PID: 4064)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- cmd.exe (PID: 2968)
- cmd.exe (PID: 2968)
- wbadmin.exe (PID: 1688)
- wbengine.exe (PID: 1524)
- reg.exe (PID: 2820)
Checks supported languages - WinRAR.exe (PID: 872)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- cmd.exe (PID: 1292)
- taskdl.exe (PID: 2468)
- cscript.exe (PID: 2204)
- taskdl.exe (PID: 3884)
- @WanaDecryptor@.exe (PID: 2964)
- @WanaDecryptor@.exe (PID: 2468)
- cmd.exe (PID: 4064)
- taskhsvc.exe (PID: 1548)
- cmd.exe (PID: 2968)
- wmiprvse.exe (PID: 3700)
- WMIC.exe (PID: 3396)
- taskdl.exe (PID: 4092)
- @WanaDecryptor@.exe (PID: 612)
- cmd.exe (PID: 3696)
- taskdl.exe (PID: 1200)
- taskdl.exe (PID: 3036)
- @WanaDecryptor@.exe (PID: 2508)
- taskdl.exe (PID: 3188)
- @WanaDecryptor@.exe (PID: 2316)
- @WanaDecryptor@.exe (PID: 648)
- taskdl.exe (PID: 1388)
- @WanaDecryptor@.exe (PID: 2524)
- @WanaDecryptor@.exe (PID: 2072)
- taskdl.exe (PID: 3452)
- WinRAR.exe (PID: 872)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- cscript.exe (PID: 2204)
- @WanaDecryptor@.exe (PID: 2468)
- taskhsvc.exe (PID: 1548)
- WMIC.exe (PID: 3396)
- wmiprvse.exe (PID: 3700)
- SearchIndexer.exe (PID: 2796)
- WinRAR.exe (PID: 872)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- @WanaDecryptor@.exe (PID: 2964)
- SearchIndexer.exe (PID: 2796)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- @WanaDecryptor@.exe (PID: 2964)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- @WanaDecryptor@.exe (PID: 2468)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- taskhsvc.exe (PID: 1548)
- cmd.exe (PID: 1292)
- @WanaDecryptor@.exe (PID: 2964)
- vssvc.exe (PID: 3932)
- wbengine.exe (PID: 1524)
- vds.exe (PID: 2324)
- wbadmin.exe (PID: 1688)
- vdsldr.exe (PID: 2792)
- cmd.exe (PID: 3696)
Reads the computer name - SearchProtocolHost.exe (PID: 120)
- icacls.exe (PID: 3684)
- vssadmin.exe (PID: 3936)
- vssvc.exe (PID: 3932)
- svchost.exe (PID: 3884)
- wbadmin.exe (PID: 1688)
- vds.exe (PID: 2324)
- wbengine.exe (PID: 1524)
- vdsldr.exe (PID: 2792)
- SearchProtocolHost.exe (PID: 120)
- attrib.exe (PID: 3536)
- icacls.exe (PID: 3684)
- vssvc.exe (PID: 3932)
- svchost.exe (PID: 3884)
- vssadmin.exe (PID: 3936)
- bcdedit.exe (PID: 3044)
- bcdedit.exe (PID: 672)
- wbadmin.exe (PID: 1688)
- wbengine.exe (PID: 1524)
- vds.exe (PID: 2324)
- vdsldr.exe (PID: 2792)
- reg.exe (PID: 2820)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe (PID: 2680)
- taskhsvc.exe (PID: 1548)
- cscript.exe (PID: 2204)
還可以看到注冊表修改事件:
2820 reg.exe write HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run yyibsxxiapw107 "C:\Users\admin\Desktop\tasksche.exe"特么在開機啟動啊。。。當然作為勒索還有大量的刪除文件動作:
當然,做網絡流量分析的話,還可以看看網絡流量相關請求:
總之,這玩意對我們檢測來說真的是太好用了!!!
[翻譯]我如何使用app.any.run https://bbs.pediy.com/thread-254296.htm2019-9-5 15:52
前言
樣本分析中,app.any.run在線沙箱可以進行交互與下載樣本,個人使用的頻率還是很高的,所以本文對它的使用做一點介紹,以下為翻譯文章,今后有相關的使用技巧也會更新在此文章中。
下面正文開始
Any.Run是一個相對較新的在線沙箱分析系統,用於運行分析可疑的可執行文件或訪問可疑的站點,並記錄系統和網絡級別的活動。這項服務的創建者給用戶提供了一個免費版本,但也提供了大量的功能。有一個訂閱服務可以解鎖更多的功能,但是對於個人使用,免費版本已經足夠了。在這篇文章中,我將分享下使用這個強大工具的兩種不同方式。
研究
使用Any.Run的第一種方法是使用其他人提交運行的公共任務來研究威脅情報。在該工具的免費版本中,所有的提交結果都是公開可見的,也可下載樣本。這使得Any.Run成為構建OSINT的一個非常有價值的工具。我使用這些公開的提交任務來識別惡意軟件,提取IOC和BOC,並識別威脅趨勢。在主頁上單擊public submissions的圖標,可以查看到公開的提交任務。當人們提交樣本進行分析時,此列表會實時更新。使用哈希搜索欄右側的過濾器圖標可以縮小搜索的范圍。
例如,如果我在監控或搜索時看到可疑域名,我可以使用上面的過濾條件查找到現有的公共樣本。或者如果我對像Ursnif這樣的特定惡意軟件感興趣,可以通過將其名稱放在標簽中搜索。但是,如果我只想單純地查看下威脅情況,我會將過濾條件設置為惡意,並從最后一兩天開始滾動查看樣本。當然也可以尋找威脅標簽,找到相同威脅家族的三到四個樣本,以便更好地了解它們的任何變化。
分析
第二種使用Any.Run的方法是進行分析。如果你無法找到現有樣本,則可以提交URL或文件對它進行分析。在創建免費帳戶后,單擊“New Task”。可以選擇操作系統的基本模式,然后提供URL或上傳要運行的文件。如果想進行任何調整,例如UAC自動確認,防逃逸,瀏覽器的類型以及Fakenet或Tor使用,可以直接選擇,但是灰色選項顯示的功能則需要進行訂閱才可使用高級服務。
設置完所有內容后,單擊“Run”。然后,將觀看到惡意軟件的實時執行或訪問之前輸入的任何URL。會話將以顯示任務結果結束,瀏覽器欄中列出的網址現在可以保存在調查說明中作為參考或與他人共享。值得注意的是,在免費版本中,所有運行的任務都是公共任務,這意味着其他人都可以看到結果。因此,請勿運行任何惡意軟件或訪問可能針對自己的組織的任何網站,否則可能會泄露敏感信息。此外需要注意兩件事:會話超時和用戶所需的交互操作。
會話超時
默認情況下,Any.Run僅運行虛擬機60秒。在分析運行時,可以單擊右上角的“Add 60s”再添加60秒。不過只有幾次可以使用延長時間的機會,這很重要,因為某些時候下載需要一段時間,或者惡意軟件作者會使用延遲技術來逃避自動沙箱分析引擎。還有就是可能想要添加時間的另一個原因是當前需要執行用戶交互操作。
用戶交互操作
在分析過程中,鼠標和鍵盤是可以在顯示的虛擬機中使用的,有時嘗試分析的惡意軟件或網站將要求分析者執行某些操作。例如,壓縮的文件里可能包含多個文件,需要選擇要運行的文件。或者網絡釣魚站點可能會請求分析者(希望)繼續通過登錄屏幕里出現的虛假站點。請注意這些類型的操作,並准備好在需要時延長會話的時間。
分析結果
無論是找到現有樣本還是創建自己的樣本,現在都可以輕松獲得大量的信息。雖然我不會涉及Any.Run分析結果界面的各個方面,但我會解釋我經常使用的部分。
信息塊部分
- 示例源,運行的環境條件以及檢測到的威脅標記。
- IOC 列出所有相關的IOC。
- 下載樣本的選項。
- 一個流程圖,顯示所觀察到的進程的父子關系。在此顯示中,可以單擊任何項目以獲取有關它的更多信息。
- ATT&CK矩陣顯示了樣本中使用到的技術。
進程
- 會使用完整的命令行將相關進程列為具有嵌套子進程的父進程。進程ID下顯示的圖標顯示網絡通信,已啟動的可執行文件等行為。
- 單擊這些條目中的任何一個都會在底部顯示一個詳細信息窗格,其中包含警告和危險以及其他信息。
- “More Info”會顯示完整的命令行,以及此進程的系統級操作,例如修改的文件,注冊表更改,網絡流量等。例如,單擊PowerShell進程,然后單擊“More Info”可能會顯示被調用的Base64編碼的命令,我在之前的博文中演示了如何解碼。
網絡
- HTTP請求將顯示HTTP結果狀態碼,調用進程,完整URL,文檔類型和一些其他內容。單擊其中一個條目將顯示哈希,可交換圖像文件(EXIF)信息,十六進制數據以及下載結果數據的鏈接。
- Connections 將展示連接時的協議,調用的進程,domain/IP/ASN信息,端口和每個方向的流量字節。單擊其中一個條目將顯示網絡會話的數據包數據的十六進制數據。在這里,我們可以看到HTTP請求和響應頭以及payload數據等內容。
- DNS請求顯示查詢和響應。
- 威脅部分將輸出從Suricata IDS實例發出的警報以及相關的警報詳細信息。
- 最右側的PCAP圖標允許下載樣本的數據包捕獲數據。
文檔
- FILES MODIFICATION將顯示創建或修改的任何文件的進程,完整路徑和文件名以及文件類型。
- 單擊這些條目中的任何一個都將顯示該文件的詳細信息,包括哈希,MIME類型,內容預覽,甚至是下載副本的選項。
摘要
我每天都使用這個工具進行分析和威脅研究,以幫助構建我的威脅搜索查詢和對不斷變化的威脅環境的認識。我意識到這篇博文只是簡單描述而已。由於Any.Run有一個非常直觀的界面,我希望我已經強調了足夠的非常有用的功能,以鼓勵你嘗試它。
來源
https://netsecninja.github.io/how-to/2019/04/01/how-I-use-any.run.html