概要
Any.runは、インタラクティブなオンラインマルウェア分析サービスです。ユーザーは疑わしいファイルやURLをクラウド上の安全なサンドボックス環境で実行し、その挙動をリアルタイムで観察することができます。ネットワークシミュレーションや詳細なレポート作成などの機能も提供しています。これにより、サイバー脅威を特定、分析することを可能にします。
プランと価格
Any.run の契約プランとしては、商用利用はできないものの無料で基本機能の利用が可能な Free Plan、個人ユーザー向け有料プランの Hunter Plan、複数のユーザーが利用する法人向け有料プランの Enterprise Plan の3プランがあります。
さらに、充実した脅威インテリジェンスが必要なユーザー向けに、有料オプションの TI Lookup / YARA Search アドオンと、TI Feeds アドオンがあります。
| ライセンス種別 | Free | HUNTER | Enterprise |
|---|---|---|---|
| 価格(年間) | 無料 | $3,588/ユーザー | 要問合せ ※5ユーザー以上 |
| 商用利用 | |||
| 基本機能 | |||
| Windows 7 32bit | |||
| Windows 10 64bit | |||
| Linux Ubuntu 22.04/20.04 64bit | |||
| 解析環境をリアルタイムに自由に操作 | |||
| 1ファイルあたりの分析可能時間 | 60秒 | 660秒 | 1200秒 |
| 解析可能ファイルサイズ | 16 MB | 100 MB | 500 MB (解析開始時は100MBまで。その後に500MBまでのファイルを追加解析可能) |
| 検体ファイル・PCAP等のエクスポート | 5リクエスト/分 | 20リクエスト/分 | 20リクエスト/分 |
| テキストレポート | |||
| 様々なブラウザでのURL分析 | |||
| MITRE ATT&CK マッピング | |||
| プロセス・ビヘイビア・グラフ(攻撃パターンの解明をサポート) | |||
| スクリプトトレーサー(スクリプト言語の実行フローのトレースと難読化の簡素化) | |||
| QRコード分析 | |||
| アクティブな分析セッションへのファイルアップロード(500MBまでのファイル) | |||
| 高度な機能 | |||
| プライベートレポート | |||
| IDSルールセット | 基本 | 拡張(正確かつ最新) | 拡張(正確かつ最新) |
| ビデオ記録(スクリーンショットではなく、アクションの全てを記録して表示) | |||
| HTTPS分析用プロキシ(C&Cサーバーとの通信内容の取得・分析が可能) | |||
| より深い分析機能 | |||
| Windows 7 64bit | |||
| Windows 8.1 32/64bit | |||
| Windows 10 32bit | |||
| Windows 11 64bit | |||
| システムプロセスのモニタリング | |||
| ロケール(OS言語設定)変更 | |||
| 再起動サポート | |||
| キューの優先順位 | |||
| ソフトウェアプリセットのインストール状態の選択(クリーン・一部・フル) | |||
| ツールコレクション(お気に入りリスト) | |||
| カスタムOpenVPN設定 | |||
| TOR経由のルーティング | |||
| レジデンシャルプロキシ(検知回避を抑止するためのIPアドレスの変更) | |||
| 機械学習による自動インタラクティブ機能 | |||
| IDSルールコンテンツへのアクセス | |||
| API/エクスポート | |||
| REST API | 250リクエスト/月 | 1,500リクエスト〜/月 (チームあたり) |
|
| JSONサマリー | |||
| MISP形式へのエクスポート | |||
| HTML形式レポート | |||
| ブラウザ拡張機能 | |||
| API経由の分析履歴の取得 | |||
| チーム管理機能 | |||
| ライセンスセンター | |||
| チームのプライバシー設定 | |||
| 分析履歴の取得 | |||
| メンバーの使用状況のレポート | |||
| シングルサインオン(SSO) | |||
| プレミアムサポート | |||
| 脅威インテリジェンス関連機能 | |||
| 脅威インテリジェンスの統計情報の参照 | |||
| 脅威データの検索(IoC・イベント・ファイル・サンドボックスレポートなどにより検索) | - | 20(トライアル) ※-オプション契約(Threat Intelligence Lookup)で追加可能 |
|
| YARAルールによる検索 | - | 20(トライアル) ※オプション契約(Threat Intelligence Lookup)で追加可能 |
|
| 脅威インテリジェンスフィード(EDR・SIEM・SOARなどを補完) | オプション契約が必要(Threat Intelligence Feed) | ||
主要機能(サンドボックス)
Any.run の主要機能を紹介します。
解析環境をリアルタイムに自由に操作
Any.runでは、サンドボックスの環境をユーザーが自由に操作できるため、ユーザーは攻撃を受けているマシンを実際に使用しているかのように感じることができます。データ監視はリアルタイムで行われ、分析セッションが開始された瞬間からサンドボックス環境を操作することが可能です。別のプログラムを追加して実行したり、任意の操作を行ったりすることが可能です。
HTTPS通信分析用プロキシ
多くの悪意のあるアプリケーションは、C&Cサーバーとの通信のために安全な接続(HTTPS)を使用しますが、これにより外部からの監視や解析が困難になります。HTTPS通信分析用プロキシ機能を使用することにより、TLSプロトコル内を確認し、ドメイン、リンク、リクエストヘッダー、およびC&Cサーバーとのリクエストとレスポンスの内容を確認することができます。
システムプロセスのモニタリング
分析対象のファイルの全容を解明するためには、関連プロセス(WMI、COM、MSI、タスクスケジューラなど)の疑わしい活動を追跡するだけでなく、すべてのシステムのアクションをモニタリングする必要があります。システムプロセスのモニタリング機能により、システムのイベントを分析の開始時点から全て確認することができます。
MITRE ATT&CK マッピング
攻撃の構造的な理解は、脅威分析にとって非常に重要です。Any.runでは多くのシグネチャがMITRE ATT&CKマトリックスにマッピングされており、攻撃手法の理解を容易にします。
プロセス・ビヘイビア・グラフ
プロセスツリーだけでは攻撃パターンを理解するには不十分な場合があります。プロセス・ビヘイビア・グラフを閲覧することにより、以下のような追加情報を確認することが可能です。
- 起動されたファイルの種類(ブラウザ、exeファイル、スクリプトファイル、MS Officeファイルなど)
- インジェクション対象のプロセスやアプリケーション
このグラフは完全にインタラクティブで、プロセスをクリックしてさらに詳細情報を取得できます。
プライベートレポート
Free Planのユーザーの分析結果は、全て公開レポートで第三者にも公開されますが、HUNTER Plan と Enterprise Plan のユーザーは、個人、チーム内、リンクを知っている人、といった具合に、分析レポートのアクセス設定を変更することが可能です。分析レポートのみならず、アップロードおよびドロップされたファイルのダウンロードを無効化することも可能で、組織の機密情報の漏洩を防止します。
また、レポートの保存期間を設定することが可能で、その期間を超えると自動的に消去されるようにすることも可能です。
オプション機能(脅威インテリジェンス)
以下の2つのオプション機能があります。単体での契約も可能です。
- Threat Intelligence Lookup
- 機能
- 脅威データの検索 (IoC・イベント・ファイル・サンドボックスレポートなどにより検索)
- YARAルールによる検索
- 価格
- 50回/⽉: 3,400 USD
- 100回/⽉: 5,000 USD
- 500回/⽉: 10,000 USD
- 5,000回/⽉: 25,000 USD
- 10,000回/⽉: 35,000 USD
- 25,000回/⽉: 50,000 USD
- 機能
- Threat Intelligence Feed
- 機能
- STIX形式で提供される、ファイル・URL・IP・ドメイン・ポートに関する脅威インテリジェンスフィード (EDR・SIEM・SOARなどと連携)
- 例えば、ファイルハッシュ値、スコア(危険度)、ラベル(「malware」「DcRat」「AgentTesla」 など)、関連するファイル、Any.runの分析結果ページURL、作成日時、更新日時などの情報を保持。
- 価格
- 12,000 USD
- 機能