Devido aos grandes avanços de ameaças de todos os tipos, principalmente quando falando de malwares, qualquer contato com um arquivo malicioso pode se tornar um verdadeiro pesadelo para aquele que o tenha tido acesso.
Em muitos casos, especialistas no assunto ou mesmo aqueles que estejam estudando, se aperfeiçoando no mundo dos Malwares, há de contar com algum mecanismo próprio para simular os problemas encontrados no mundo real, debugar e estressar os comportamentos dos vírus para entender o que eles fazem, que portas eles acessam, que tipo de modificações fazem no sistema operacional, nos registros em geral.
Felizmente podemos contar com ambientes próprios para executar estes testes, sejam eles sandboxes preparados para tal ou maquinas virtualizadas isoladas para este propósito.
Um destes sistemas recém liberado para o publico é conhecido como AnyRun.
O AnyRun é uma plataforma interativa de analise de malware (objetos e URL) segura, baseada nos sistemas desde o Windows XP até Windows 10 (32 ou 64 bits).
Suas analises podem ser de duas maneiras: Estatica ou Interativa (Dinamica), onde na forma estatica é analisada a estrutura do objeto, sem que o mesmo seja executado e na forma dinâmica é analisado o comportamento do malware enquanto está em execução em um sistema.
O processo de registro é bem simples, e na modalidade “free”, você consegue criar tarefas de analise que são “publicadas” na comunidade do AnyRun. Por isso, tenha cuidado ao submeter algum arquivo, documento confidencial para analise, pois ele estará disponivel para visualização de qualquer membro da comunidade.
Caso ainda não tenha um registro, basta realiza-lo através do botão “Register”
Feito o registro e o login, para iniciar uma Tarefa de Analise, basta clicar no botão “New Task”:
Será aberta uma janela para configuração do Sistema (Escolha do Sistema operacional, personalização, etc):
(Modo Avançado)
No quadro “Object” você escolhe o arquivo (doc, executavel, etc) ou URL (da pagina suspeita/maliciosa) qual deseja analisar o comportamento e em seguida clique no botão “RUN”:
Sistema inicializando…
Pronto!
A analise inicial foi concluida e os detalhes podem ser vistos nas areas à direita e ao rodapé.
Neste teste abaixo foi utilizada uma amostra do Ransomware “GandCrab” (na tela inicial do AnyRun ele está disponivel para analise)
Observe que ele faz a analise dos processos realizados pelo malware, como por exemplo o “shadowcopy delete”, ou seja, o processo onde o malware apaga os shadowcopies existentes. Na parte abaixo da tela principal há informações sobre os Requests HTTP, Conexões utilizadas pelo malware, Request DNS e ameaças encontradas durante a analise:
Entre os processos a execução do “iexplorer” abrindo a mensagem de resgate, a fase onde renomeia os arquivos, entre outras ações visiveis nos detalhes dos processos:
Aqui executo uma nova tarefa para verificar um link de teste de “Cryptojacking”, felizmente (ou infelizmente neste caso por se tratar de um teste), o java estava desabilitado na estação e o script “automatico” não rodou no IE:
No rodapé da pagina há informações sobre os possiveis planos (pagos) da ferramenta. Há quem interessar em se aprofundar nos estudos dos Cyberattacks:
Espero que este artigo seja útil!