Проверка исполняемых файлов на наличие угроз в Any.run

Ранее на сайте неоднократно публиковались материалы на тему онлайн-проверки файлов на вирусы. Многие известные сервисы для этих целей, такие как VirusTotal, проверяют файл по антивирусным базам популярных вендоров. Но есть и иной подход — запуск исполняемого файла в «песочнице» и анализ его действий.

Any.run — онлайн-сервис для оценки угроз исполняемых файлов, действующий по второму принципу. О нём и пойдёт речь далее в статье.

Использование Any.run

Any.run можно использовать как бесплатно, так и в платном варианте. Платный доступ имеет меньшее количество ограничений, в частности, касающихся времени выполнения, но для многих задач будет достаточно и бесплатного плана.

Для начала потребуется регистрация и здесь пользователи могут столкнуться с главной сложностью: для регистрации не подходят адреса электронной почты на популярных бесплатных почтовых сервисах. Нужен корпоративный E-mail, адрес на личном сервере, учебная или рабочая почта, либо иной адрес, не известный сервису.

При отсутствии такой почты и невозможности её создать, можно попробовать написать в X или Discord сервиса с обоснованием необходимости некоммерческого использования на личном адресе почты, ссылки находятся внизу окна регистрации.

Завершив и подтвердив регистрацию, можно приступать:

1. На главной странице доступны следующие действия: загрузка файла или письма электронной почты, адреса в Интернете (URL), с которого нужно скачать исполняемый файл, либо проверка подозрительных ссылок.
2. Например, требуется проверить исполняемый файл, уже находящийся на компьютере (для ссылок с исполняемыми файлами процесс будет тем же). Обычно достаточно просто загрузить файл, выбрать операционную систему и нажать кнопку «Run a public analysis». При необходимости вы можете изменить параметры: доступ к Интернету, автоматическое подтверждение UAC, язык системы и другие. Поддерживается не только Windows, но и Linux или Android.
3. После запуска анализа будет запущена виртуальная машина, которая начнёт выполнять файл (в случае проверки URL — браузер с загрузкой указанного файла, который затем потребуется запустить). При необходимости вы можете выполнять действия в окне виртуальной машины. В бесплатной версии сессия длится до 60 секунд, в процесс е собирается информация: сетевые подключения и действия, действия в самой системе и другие.
4. По завершении, кроме списка выполненных действий, выносится и автоматический «вердикт» о вредоносности файла, а также типы обнаруженных угроз:
5. По кнопке «Text report» вы можете получить полный отчёт о действиях файла и распечатать его, либо экспортировать в удобном формате:
6. Пор другим кнопкам доступны дополнительные варианты отчётов: сводка от ИИ, матрица MITRE ATT&CK и другие, а также экспорт результатов анализа.

Особая ценность для специалиста или разбирающегося пользователя заключается в подробной информации обо всех выполненных в системе, реестре и сети действиях запущенного процесса:

Эта информация позволяет узнать, что именно делает исполняемый файл в системе, оценить риски и помочь принять решение о целесообразности его запуска или использования в своей системе.

Any.run — не единственный сервис с похожими функциями, но один из самых удобных в использовании. Среди аналогов:

• MetaDefender Cloud
• Hybrid Analysis
• Threat.zone

Несмотря на то, что для большинства пользователей будет достаточно и сервисов наподобие VirusTotal, для тех, кому требуется более точная информация о действиях, выполняемых программами, подобные сервисы-песочницы могут быть очень полезными.