Cuando cualquier usuario quiere probar con seguridad si un archivo sospechoso se trata de un malware, o poder intentar averiguar el funcionamiento de una amenaza, para no comprometer su sistema real se suele recurrir al sandbox, una técnica mediante la cual el programa o fichero se ejecuta en un espacio aislado del equipo, impidiendo que se realicen modificaciones en él. Existen muchos sandbox diferentes, cada uno enfocado a un fin concreto, pero si lo que estamos buscando es analizar malware en un entorno seguro, sin duda debemos probar Any.Run.
Any.Run es una herramienta de sandbox de origen ruso lanzada en 2016 con el fin de ofrecer a los investigadores de seguridad una plataforma donde poder analizar fácilmente cualquier muestra de malware. A diferencia de otras plataformas de sandbox, el principal punto fuerte de esta es que se trata de una plataforma completamente interactiva, y es que, a diferencia de otras plataformas similares, en vez de subir la muestra y quedarnos esperando a recibir los resultados, esta nos permite subir la amenaza y utilizar el sistema operativo para ver cómo se comporta dicha amenaza según lo que hagamos en el equipo.
Al no ser un proceso totalmente automatizado como en las demás plataformas, el malware tiene más complicado detectar que se está ejecutando en un sandbox y que está siendo analizado, además de ser capaz de analizar su comportamiento bajo ciertas tareas como, por ejemplo, al pulsar botones.
Cómo funciona Any.Run
Si queremos utilizar Any.Run, podemos entrar a esta plataforma desde el siguiente enlace. Una vez dentro de esta página podremos ver un panel de control muy interesante en el que, a grandes rasgos, vamos a poder ver un mapa con las amenazas informáticas que están teniendo lugar a nivel mundial
Una vez dentro de la plataforma vamos a poder crear nuestra propia tarea para probar un malware que sea nuestro propio, o ver el resultado de cualquiera de las pruebas públicas que se han realizado, pudiendo ver, en vídeo, todo lo que le ha ocurrido al sistema
En la pantalla de pruebas, además de poder controlar un sistema operativo (el que nosotros queramos) en el que ejecutaremos el malware, vamos a ver distinta información relacionada con el proceso, como:
Process information: Nos lista los procesos que se inician, detienen o a los que se accede, pudiendo saber si el malware, por ejemplo, crea tareas o servicios, o incluye modificaciones en el registro.
Network information: Nos muestra absolutamente todos los paquetes de red que se crean o reciben, pudiendo, además, descargarlos en un fichero PCAP para analizarlos con otras aplicaciones.
Files: Nos muestra los archivos asociados a la amenaza analizada.
Debug: Una consola de desarrollo.
Sin duda, Any.Run es una excelente herramienta que nos va a permitir analizar prácticamente cualquier amenaza informática de manera segura como si se tratase de un sistema real. Eso sí, aunque la plataforma es gratuita, debemos asumir algunas limitaciones, como, por ejemplo, que solo vamos a poder analizar malware compilado para 32 bits en una máquina con Windows 7, y que la amenaza no puede ser superior a 16 MB.
Si queremos eliminar estas restricciones, entonces debemos convertirnos en usuarios PRO, aunque estas modalidades aún no están disponibles.
Fuente: redeszone
No hay comentarios:
Publicar un comentario