Advanceret dynamisk analyse via Any.run

Any.run er en cloud-baseret service der lader cyber-sikkerheds eksperter og studenter- eksekvere og analysere malware i "real-time" via deres infrastruktur.

Når man har uploaded sin fil og kørt den, kan man se forskellige faner som hver især oplyser hændelser i miljøet.

Herunder ses der HTTP Requests i "HTTP" fanen, der står også beskrevet hvilke processer har sendt HTTP requests.

HTTP

Under "Connections" kan kan se forbindelser, processen som har etableret forbindelsen, hvilken region der forbindes til, hvilket ry destinationen har, forbindelsernes ip-adresser samt tilhørende domæner.

TCP

"DNS" fanen viser alle domæner som maskinen har forsøgt at slå op samt deres ip-adresse og ry.

DNS

Threats fanen viser hvilke trusler Any.run har detekteret.

Threats

I højre side af den virtuele maskines brugergrænseflade ses der en masse informationer om selve filen såsom trussels-niveau, hash-signatur, type af malware, start dato samt operativ system. Nedenunder det ser man et proces-træ. Træet viser hvilke processer er blevet startet og hvilke forældre de forskellige processer har.

højre_side

De processer der er markeret med rødt i træet er bekræftet ondsindede af Any.run. Klikker man ind på dem får man endnu mere information om selve processen såsom f.eks. hvilke bruger processen høre til, hvilke MITRE teknikker taget i brug og hvilken "verdict" Any.run har beregnet for processen.

proces_details

Sources

https://any.run