performing-dynamic-analysis-with-any-run

使用 ANY.RUN 云沙箱进行交互式动态恶意软件分析,实时观察执行行为、与恶意软件提示进行交互, 并捕获进程树、网络流量和系统变化。适用于交互式沙箱分析、基于云的恶意软件引爆、 实时行为观察或 ANY.RUN 使用等请求场景。

9 stars

Best use case

performing-dynamic-analysis-with-any-run is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 ANY.RUN 云沙箱进行交互式动态恶意软件分析,实时观察执行行为、与恶意软件提示进行交互, 并捕获进程树、网络流量和系统变化。适用于交互式沙箱分析、基于云的恶意软件引爆、 实时行为观察或 ANY.RUN 使用等请求场景。

Teams using performing-dynamic-analysis-with-any-run should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-dynamic-analysis-with-any-run/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-dynamic-analysis-with-any-run/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-dynamic-analysis-with-any-run/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-dynamic-analysis-with-any-run Compares

Feature / Agentperforming-dynamic-analysis-with-any-runStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 ANY.RUN 云沙箱进行交互式动态恶意软件分析,实时观察执行行为、与恶意软件提示进行交互, 并捕获进程树、网络流量和系统变化。适用于交互式沙箱分析、基于云的恶意软件引爆、 实时行为观察或 ANY.RUN 使用等请求场景。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 ANY.RUN 进行动态分析

## 适用场景

- 需要交互式恶意软件分析,分析人员必须点击对话框、输入凭据或操作安装界面
- 无需维护本地沙箱基础设施的快速云端沙箱分析
- 恶意软件需要用户交互才能通过反沙箱检查(如文档宏需要"启用内容")
- 通过公开或私有任务 URL 与团队成员共享分析结果
- 在 ANY.RUN 提供的不同 OS 版本(Windows 7、10、11)间比较行为差异

**不适用**于不能上传到云服务的高度敏感样本;应改用 Cuckoo 等本地沙箱。

## 前置条件

- ANY.RUN 账号(免费社区版或付费订阅)
- 支持 WebSocket 的现代网络浏览器,用于交互式会话流
- 已准备好上传的样本文件(免费版最大 100 MB,付费版最大 256 MB)
- 了解样本类型以选择适当的执行环境
- 在分析会话期间访问 ANY.RUN 门户时使用 VPN 或安全网络

## 工作流程

### 步骤 1:配置分析环境

设置 ANY.RUN 任务的适当参数:

```
ANY.RUN 任务配置:
━━━━━━━━━━━━━━━━━━━━━━━━━━
OS 选择:          Windows 10 x64(推荐默认)
                   Windows 7 x64(针对旧版恶意软件)
                   Windows 11 x64(针对现代样本)
执行时间:         60 秒(默认)/ 120-300 针对慢速恶意软件
网络:             已连接(捕获真实 C2 流量)
                   住宅代理(绕过地理封锁)
隐私:             公开(免费版)/ 私有(付费版,不被索引)
MITM 代理:        启用以解密 HTTPS 流量
Fake Net:         启用以模拟网络服务(当样本检查网络连接时)
```

**基于 API 提交(付费版):**
```bash
# 通过 ANY.RUN API 提交文件
curl -X POST "https://api.any.run/v1/analysis" \
  -H "Authorization: API-Key $ANYRUN_API_KEY" \
  -F "file=@suspect.exe" \
  -F "env_os=windows" \
  -F "env_version=10" \
  -F "env_bitness=64" \
  -F "opt_timeout=120" \
  -F "opt_network_connect=true" \
  -F "opt_privacy_type=bylink"

# 检查任务状态
curl "https://api.any.run/v1/analysis/$TASK_ID" \
  -H "Authorization: API-Key $ANYRUN_API_KEY" | jq '.data.status'
```

### 步骤 2:在执行过程中与恶意软件交互

使用交互式会话触发恶意软件行为:

```
分析期间的交互操作:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. 文档宏:       在提示时点击"启用内容"/"启用编辑"
2. 安装界面:     逐步点击安装对话框
3. UAC 提示:     点击"是"允许提权(观察权限提升行为)
4. 凭据采集:     输入虚假凭据以观察钓鱼行为
5. 浏览器重定向:  如果恶意软件打开浏览器窗口,导航到对应 URL
6. 文件对话框:   如果恶意软件显示文件选择器,选择目标文件
7. 超时延长:     如果恶意软件存在延迟执行,延长分析时间
```

### 步骤 3:分析进程树

审查完整的进程执行链:

```
进程树分析要点:
━━━━━━━━━━━━━━━━━━━━━━━━━━━
父子关系:
  - WINWORD.EXE -> cmd.exe -> powershell.exe(宏执行链)
  - explorer.exe -> suspect.exe -> svchost.exe(进程注入)

需要注意的进程事件:
  - 带有可疑命令行参数的进程创建
  - 带有编码命令的 PowerShell(-enc / -encodedcommand)
  - cmd.exe 执行脚本文件(.bat、.vbs、.js)
  - 从异常父进程派生的合法进程
  - 进程终止(自删除行为)
```

### 步骤 4:审查网络活动

检查 DNS、HTTP/HTTPS 和 TCP/UDP 连接:

```
ANY.RUN 网络面板分析:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DNS 请求:
  - 带威胁情报标签的域名解析
  - 快速流量或 DGA 域名模式
  - DNS over HTTPS(DoH)检测

HTTP/HTTPS 流量(启用 MITM 时):
  - HTTP 的完整请求/响应体
  - 解密的 HTTPS 流量(显示 C2 命令)
  - 下载的载荷及其内容类型
  - 包含被泄露信息的 POST 数据

连接图:
  - C2 服务器位置的地理可视化
  - 显示信标模式的连接时间线
  - 网络流量触发的 Suricata 告警
```

### 步骤 5:检查 IoC 和威胁情报

提取指标并映射到已知威胁:

```
ANY.RUN IoC 分类:
━━━━━━━━━━━━━━━━━━━━━━
文件:       投放文件的哈希、YARA 匹配、VirusTotal 结果
网络:       执行期间访问的 IP、域名、URL
注册表:     为持久化创建/修改的键
进程:       可疑进程名称和命令行
互斥锁:     创建的命名互斥锁(用于单实例检查)
签名:       触发的 Suricata 规则、匹配的行为签名

MITRE ATT&CK 映射:
  - ANY.RUN 自动将观察到的行为映射到 ATT&CK 技术
  - 在 ATT&CK 矩阵标签页中查看技术覆盖情况
  - 导出 ATT&CK Navigator 层用于报告
```

### 步骤 6:导出分析结果

下载综合报告和分析产物:

```bash
# 通过 API 下载报告
curl "https://api.any.run/v1/analysis/$TASK_ID/report" \
  -H "Authorization: API-Key $ANYRUN_API_KEY" \
  -o report.json

# 下载 PCAP
curl "https://api.any.run/v1/analysis/$TASK_ID/pcap" \
  -H "Authorization: API-Key $ANYRUN_API_KEY" \
  -o capture.pcap

# 下载投放文件
curl "https://api.any.run/v1/analysis/$TASK_ID/files" \
  -H "Authorization: API-Key $ANYRUN_API_KEY" \
  -o dropped_files.zip

# ANY.RUN Web 界面可用的导出格式:
# - HTML 报告(可共享的独立页面)
# - PCAP 文件(网络流量捕获)
# - 进程转储(进程内存转储)
# - 投放文件(执行期间创建的所有文件)
# - MITRE ATT&CK Navigator JSON
# - IoC 导出(STIX/JSON/CSV 格式)
```

## 核心概念

| 术语 | 定义 |
|------|------|
| **交互式沙箱** | 允许分析人员实时与正在执行的样本交互的分析环境,可触发依赖用户操作的行为 |
| **MITM 代理** | ANY.RUN 中的中间人 TLS 拦截,解密 HTTPS 流量以获取对加密 C2 通信的可见性 |
| **住宅代理** | ANY.RUN 功能,通过住宅 IP 地址路由恶意软件流量,以绕过地理 IP 和数据中心 IP 规避检查 |
| **Suricata 告警** | 执行期间触发的网络 IDS 签名,提供对已知恶意流量模式的即时识别 |
| **进程树** | 父子进程关系的层次化可视化,显示从初始样本到最终载荷的完整执行链 |
| **行为标签** | ANY.RUN 根据观察到的行为自动应用的分类标签(如"trojan"、"stealer"、"ransomware") |

## 工具与系统

- **ANY.RUN**:基于云的交互式恶意软件沙箱,提供实时执行监控、进程树、网络捕获和 MITRE ATT&CK 映射
- **ANY.RUN API**:REST API,用于程序化样本提交、状态检查和报告/产物获取
- **Suricata**:集成在 ANY.RUN 中的网络 IDS,提供基于签名的恶意网络流量检测
- **MITRE ATT&CK Navigator**:框架集成,将观察到的恶意软件行为映射到对手技术和战术
- **VirusTotal 集成**:自动对样本和投放文件进行哈希查询,获取 VirusTotal 检测结果

## 常见场景

### 场景:分析需要用户交互的宏启用文档

**背景**:钓鱼邮件包含 .docm 文件,需要点击"启用内容"才能触发宏载荷。传统的非交互式沙箱无法触发恶意行为。

**方法**:
1. 将 .docm 上传到安装了 Microsoft Office 的 ANY.RUN Windows 10 环境
2. 当 Word 打开并显示安全提示时,交互式地点击"启用内容"
3. 在进程树中观察宏执行(Word -> cmd.exe -> powershell.exe)
4. 监控网络面板,观察 PowerShell 下载第二阶段载荷
5. 如果出现 UAC 提示,点击"是"允许载荷执行以观察完整行为链
6. 查看 Suricata 告警,检查下载的载荷是否有已知恶意软件签名
7. 导出 IoC(下载 URL、投放文件哈希、C2 域名)用于封锁

**注意事项**:
- 不要忘记启用 MITM 代理,否则加密的 HTTPS 流量将无法可见
- 对于有延迟执行或睡眠计时器的恶意软件,不要设置过短的执行超时时间
- 当样本包含敏感组织数据时,不要上传到公开分析
- 不要跳过所有提示;某些恶意软件需要多次用户交互才能完整执行

## 输出格式

```
ANY.RUN 分析报告
=========================
任务 URL:        https://app.any.run/tasks/<task_id>
样本:            invoice_q3.docm
SHA-256:         e3b0c44298fc1c149afbf4c8996fb924...
判定:            恶意(评分:95/100)
家族:            Emotet
标签:            [trojan, banker, spam, macro]

进程树
WINWORD.EXE(PID:2184)
  └── cmd.exe(PID:3456)"/c powershell -enc JABXAG..."
      └── powershell.exe(PID:4012)
          └── rundll32.exe(PID:4568)"C:\Users\...\payload.dll,Control_RunDLL"

网络指标
DNS:    update.emotet-c2[.]com -> 185.220.101.42
HTTPS:  POST hxxps://185.220.101[.]42/wp-content/gate/(C2 信标)
HTTP:   GET hxxp://compromised-site[.]com/invoice.dll(载荷下载)

SURICATA 告警
[1:2028401] ET MALWARE Emotet CnC Beacon
[1:2028402] ET MALWARE Win32/Emotet Activity

MITRE ATT&CK 技术
T1566.001  钓鱼攻击:鱼叉式钓鱼附件
T1204.002  用户执行:恶意文件
T1059.001  命令和脚本解释器:PowerShell
T1218.011  Rundll32 执行
T1071.001  应用层协议:Web 协议

投放文件
payload.dll  SHA-256:abc123...  检测率:48/72(VirusTotal)
config.dat   SHA-256:def456...(加密配置)
```

Related Skills

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。