AnyRun, la herramienta de análisis de malware interactiva ahora es gratis

Esta semana pasada se produjo una buena noticia para muchos usuarios, sobre todo quienes se dedican a estudiar el comportamiento de malware, los pentester y cualquier usuario que necesite saber como se comporta un archivo ejecutable de cualquier tipo: el popular sandbox de análisis de malware Any.Run ahora es gratis con la versión Community.

Any.Run es un servicio de sandbox online que nos permite realizar análisis de malware sin correr riesgos en nuestro entorno. Además de hacerlo de forma controlada, el proceso con Any.Run es totalmente interactivo. Es decir, que nosotros controlamos en tiempo real la aplicación a estudiar y vamos viendo la evolución y acciones que esta toma sobre el sistema.

Aprende más – ¿Dónde descargar malware o virus de forma segura?

AnyRun permite estudiar el comportamiento de malware

Este servicio no es el único que podemos utilizar para, mediante el sandboxing, aprender como se comporta un determinado software y además determinar si es o no perjudicial para el equipo. Existen otras como Cuckoo Sandbox, Sandboxie, etcétera. Pero ninguna combina las dos principales características de Any.Run al mismo tiempo: estar basado en web y ser interactivo.

Este servicio está ubicado en Rusia y fue fundado en 2016 por el investigafor Alexey Lapshin. Ahora cuenta con 5 miembros que están expandiendo las capacidades de esta plataforma.

Es decir, si queremos analizar por ejemplo un software gratuito que viene con algunos PUA (aplicaciones potencialmente no deseadas) no podríamos saber cómo se comporta al requerirnos hacer clic en repetidas ocasiones. Con esta herramienta podremos hacerlo.

Fortalezas y limitaciones

Como apuntan desde Bleeping Computer tras un breve repaso a la herramienta, Any.Run no está pensado para hacer un análisis exhaustivo de las amenazas (para eso podemos utilizar IDA Pro o X-Rays) ni tampoco es conveniente para situaciones de chequeos en lote donde no existe interacción con el usuario.

Para el resto de situaciones es excelente y fácil de usar. Nos servirá para analizar malware y ver qué procesos levanta, a que URLs se conecta, qué archivos modifica. También es ideal para demostraciones de nuevas PoC (pruebas de concepto) y kits de exploit.

Como utilizar Any.Run

Primero navegaremos hasta su web y nos registraremos (si es que queremos realizar una prueba) o continuaremos si solamente queremos ver las pruebas realizadas por otros usuarios.

Hecho esto, simplemente será necesario elegir el archivo (o la dirección web donde se sirve éste) y el sistema operativo que deseamos probar. Existe un modo avanzado que nos permite personalizar más el sistema, por ejemplo la duración de la sesión interactiva.

NOTA: en la versión Community solamente se soporta Windows 7 Pro en versión 32 bits, tampoco podemos cambiar el nivel de actualizaciones del sistema operativo, las aplicaciones instaladas…y tampoco podemos esconder nuestro análisis para que no lo vean los demás usuarios.

Ahora procederemos a arrancar el entorno de pruebas pulsando Run. Entonces tendrá lugar el arranque y se aplicarán los parámetros deseados, además de ejecutarse el programa o archivo por lotes escogido por nosotros.

Podemos entonces interactuar con el PC como si estuviéramos frente a él, usando cualquier utilidad sin limitaciones. En todo momento, nuestras acciones quedarán registradas por el sandbox: actividad de archivos, procesos ejecutados, solicitudes de red, escrituras en el registro. En la imagen inferior se aprecian algunos de estos datos.

El producto se caracteriza por la sencillez (aunque está en inglés) y la potencia que tiene al analizar de forma interactiva cualquier software que pueda ser peligroso o sospechoso de serlo.

Precios y nivel de servicio

En la web actual se listan los diferentes niveles de servicio ofrecidos por Any.Run, con 4 escalones de precio, aunque de momento nada se sabe de ellos. Estamos hablando de un servicio reciente y todavía falta por ultimar cosas.

Conclusiones

Empecemos con lo menos positivo: de momento no hay manera de generar informes en base a las sesiones que tienen lugar en la aplicación. Esperan hacerlo, pero no se sabe cuando. La versión gratuita tiene algunas limitaciones, por ejemplo no poder usar más de 5 minutos una sesión de pruebas.

Aprende más – Pentesting real y legal con PentestIt

Ahora bien, a pesar de las limitaciones de la versión gratuita estamos ante un servicio de análisis de malware bastante completo incluso en la versión más básica. Any.Run es fácil de administrar, es rápido y ofrece una buena cantidad de información útil sobre cualquier cosa que le «echemos». Recomendado.