Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Anubis - Sandbox gratuite en ligne

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
15.08.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Rappel que VirusTotal utilisait Anubis avant d'utiliser la Cuckoo Sandbox et mises à jour mineures

Anubis est une sandbox disponible en tant que service gratuit en ligne.

Anubis - Sandbox gratuite en ligneAnubis - Sandbox gratuite en ligneAnubis - Sandbox gratuite en ligne

Anubis - Sandbox gratuite en ligne

Qualité du service :
Ce service n'existe plus

Sandbox Online (Behaviourial information - Informations comportementales)

iSecLab = International Secure Systems Lab.

Anubis accepte des fichiers de 8 MO Max. Pas de caractères spéciaux, dont l'interprétation par un serveur pourait être ambigüe, dans le nom du fichier. Tous les codes exécutables Windows sont acceptés ainsi que toutes les applications Androïd (fichiers APK valide avec les fichiers AndroidManifest.xml et classes.dex.

Rapport possible aux formats HTML, XML, PDF ou Text.

Possibilité de soumettre une URL et de recevoir un rapport sur la totalité de l'activité Internet de cette URL simulée dans Internet Explorer (donc avec analyse de l'activité ActiveX également).

Astuce : répondre au Test de Turing (Captcha), optionnel, en bas de page. Cela rend votre analyse prioritaire dans la file d'attente.

Il existe une version commerciale d'Anubis (https://www.lastline.com/).

Si un exécutable est une application contenant des dépendances (DLLs, etc. ...), les envoyer en même temps ("auxiliary files") - la taille totale de l'exécutable et de ses dépendances ne devant pas dépasser 8 MO.

Anubis est une sandbox (un bac à sable) gratuite, en ligne, analysant un fichier et retournant l'inventaire de ce que tente de faire ce fichier, lorsqu'il est exécutable.

Le fichier à analyser doit être soumis (envoyé) à Anubis. Si vous êtes derrière un serveur proxy de filtrage des virus, vous pouvez soumettre votre échantillon via SSL.

Le résultat de l'analyse peut être reçu par votre navigateur (mais il faut parfois attendre longtemps) ou par email.

L'objet à analyser peut être un fichier exécutable, une archive d'exécutables, ou une URL.

L'objet à analyser doit être un fichier Windows exécutable (peu importe son extension .exe ou n'importe quoi) ou un fichier Android APK. Lorsqu'un fichier est envoyé à Anubis, il est ouvert en appelant la fonction CreateProcess donc peu importe le nom et l'extension du fichier : si son contenu est exécutable, il sera exécuté, même s'il se cache derrière un nom quelconque, même s'il s'appelle recettedecuisine.txt. Ananubis analysera également tout fichier qui contiendrait un binaire Android se présentant comme un paquet APK valide. Les fichiers APK seront installés dans un environnement virtuel Android et devront contenir, au moins, l'AndroidManifest.xml et les fichiers classes.dex.

Anubis tente d'analyser un programme appelé ntvdm.exe, pas le fichier que j'ai téléchargé. Pourquoi ?Anubis tente d'analyser un programme appelé ntvdm.exe, pas le fichier que j'ai téléchargé. Pourquoi ?Anubis tente d'analyser un programme appelé ntvdm.exe, pas le fichier que j'ai téléchargé. Pourquoi ?

Anubis s'attend à analyser un fichier exécutable, mais vous avez probablement soumis un fichier qu’il ne parvient pas à exécuter directement. Voici ce qui se passe : Windows (la version de Windows sur laquelle est implanté Anubis) remarque que le fichier n'est pas un exécutable valide et pense qu'il s'agit d'un ancien fichier exécutable de type DOS (ce sont des exécutables qui n'ont pas d’en-tête binaire). Dans Windows XP, cependant, les anciens fichiers DOS ne sont pas exécutés directement, ils sont injectés dans la machine virtuelle NT (New Technologie) du nom de ntvdm.exe. C'est pourquoi vous voyez Anubis analyser le processus ntvdm.exe.

Anubis est-il lié à TTAnalyze d’une quelconque manière ?Anubis est-il lié à TTAnalyze d’une quelconque manière ?Anubis est-il lié à TTAnalyze d’une quelconque manière ?

Oui. TTAnalyze est son prédécesseur.

Anubis et Wepawet annoncent la fermeture de leurs services en ligne.Anubis et Wepawet annoncent la fermeture de leurs services en ligne.Anubis et Wepawet annoncent la fermeture de leurs services en ligne.

Vendredi 25 mars 2016 : Anubis et Wepawet annoncent la fermeture de leurs services en ligne. La société continue avec uniquement sa version commerciale orientée monde professionnel de toutes tailles.

Vendredi 25 mars 2016 : Anubis et Wepawet annoncent la fermeture de leurs services en ligne.

We are discontinuing the Anubis and Wepawet services.

Unfortunately, we do not have the resources to maintain these tools and improve them to match an ever-changing malware landscape.

The creators of Anubis and Wepawet have moved on and created a company, Lastline, Inc., whose products provide malware analysis and countermeasure capabilities to enterprises of all sizes.
You can check Lastline’s solutions, which include both malware analysis and URL analysis tools, at www.lastline.com, or by sending an email to info@lastline.com.

We'd like to thank all of you for being loyal users of these services, and supporting us over the many years.

Please do come and talk to us at the next conference! (e.g., Blackhat, DefCon, RSA, IEEE Security & Privacy, NDSS, USENIX Security, ACM CCS, …)

If you have any questions, please send an email to wepawet@cs.ucsb.edu or anubis@cs.ucsb.edu.

Source : https://anubis.iseclab.org/

Le service multi-antivirus gratuit en ligne VirusTotal a utilisé Anubis pour ses analyses comportementales. Depuis le 21 juillet 2012, VirusTotal utilise une version modifiée de la Cuckoo Sandbox, une Sandbox dont le code est open source.



Avertissement : Produits et Services gratuits

Ne jamais utiliser un "service gratuit en ligne", ou un "outil gratuit à télécharger et installer" qui ne soit pas recommandé par Assiste.com. Si nous n'avons pas encore parlé de tous les produits ou services fiables existants, il est quasi certain que presque tous les produits ou services dont nous ne parlons pas sont des malveillances ou des crapuleries (ou des produits moins performants, donc inutiles).