自宅のサンドボックス環境めんどくせーなーと思いながら、Online Sandboxなどのキーワードで検索していたら面白そうなサービスを見つけました。

利用し始めてから結構期間が経ったので、ブログで紹介してみます。

概要

https://app.any.run/

AnyRunはロシアを拠点とする5人の研究者によって開発されたようです。

このSandBoxの最大の特徴は、Webサービス型のSandboxでありながら、自分でホストを操作することができる対話型なサービスである点にあります。

また、動画形式で操作ログを残すことができます。動作形式の保存は有料プランになりますが、閲覧する分には無料です。

有名どころのマルウェアは「Significant tasks 」のカテゴリに入り、これらは動画で閲覧できるため、ただのSandboxサービスとしてだけでなく、マルウェアの動きの学習にも最適なサイトだと思っています。

機能について

実際に機能を見ていきます。

Top

なかなか今風の画面です。が、このトップページを見ることは私はほとんどありません。右上に表示されているIntersting Sampleくらいです。

Intersting Sampleは直近でアップロードされた「面白そうな」検体が表示されているようです。今回の画像では、ロシアの企業を標的にした0day攻撃に利用されたFlashの脆弱性PoCが挙げられています。

Public Submission

ユーザーで公開設定にされた検体に関するログを確認することができます。

無料プランの場合は、問答無用で公開設定になるため、アップロードする内容はくれぐれも細心の注意を払う必要があると思います。個人で利用する分にはあまり気にしなくていいかもですが。

その横にある「Significant tasks」にチェックボックスをつけると、先ほども書きました「面白そうな」マルウェアやPoCの情報が出てきます。これらは動画形式で閲覧できます。(誰がどういう基準で決めてるかは謎です。)

以下の画像の例では、最近では海外で猛威を振るっており、国内では2018年に某病院が感染したランサムウェア「GandCrab」の検体情報になります。

この検体情報は「Significant tasks」のため、動画でも確認することが出来ますが、大体のものが無料ユーザーによる静止画画像です。

取得できる情報そのものは、Hybrid Analysysよりも豊富な気がします(どうだろう?)。ただ、こちらの方が単純に見やすいなあとは思います。あと、個人的にはIOCをさくっとコピー出来るのが好きです。

実行された各アプリケーションに対しても細かくログを取得しています。

あと、これも個人的な感想ですが、悪性判定がちょっときつめな気がします。使っていると簡単にMaliciousと言われるので、単純な悪性判断という点においてはこの辺はあまり信用せず、DANGERやWARNING、その他の内容を踏まえて自分で判断する必要があると思います。

New Task

ユーザー登録を行うことで、「New Task」画面で実際にSandboxを利用できるようになります。

無料ユーザーの場合、ホストはWindows7 32bit限定となっております。

このNew Taskでは「URLの入力」または「ファイルのアップロード」を選択することができます。

先も述べた通り、対話型のSandboxサービスのため、URLを入力してブラウザ上で実際に操作することも可能です。

有料プランにすることで上記のAdvancedの設定も自由に操作出来ると思いますが、私は無料プランのため試していません。

Pricing

*2019年1月14日時点の画像です。

おかねのはなしです。

「FREE」「SEARCHER」「HUNTER」の3種類があります。動画での保存や非公開モードなどは、SEARCHER以上である必要があるようです。HUNTER以上であればOSの種類も選択できます。

ここで特筆したいのはその費用で、SEARCHERでも月額$89と、ギリギリ個人でも利用できる金額になっています。(?)

この金額感から、マーケティングの対象は企業ではなく個人のリサーチャーも含んでいるようですね。

まとめ

過去のデータを掘る分にはまだまだかもしれませんが、今後手に入れた疑わしい操作を実行する環境の一つとして継続して利用していきたいと思います。

また、私はこのサービスは単純なサンドボックスのサービスとしてだけでなく、マルウェアの動きの勉強といった点でも実に有用だと思っています

感染する際の画面を見るだけなら確かに動画サイトを漁れば出てくるかもしれませんが、感染の動きに加えてOS上の動作まで表示してくれるサイトは私は知りません。

マルウェアの学習をしてみたいけど、実際に環境は作れない・・そんな方にぜひオススメしたいと思います。

ただし、やはり所詮はサンドボックスなので、環境バレして思い通りの結果が出ていないことも常に考慮する必要があります。

このサービスを面白いと思ったらあなた!今日から私とAnyRunner!