Irgendwo in Forchheim, oder: Warum any.run kein Usecase für deine Security ist

any.run ist ein Cloud-Security Dienst. In der kostenlosen Fassung kann man Dokumente in einer Windows 32-bit-Umgebung starten und verfolgen, welche Prozesse in Hintergrund laufen. Gut, um verdächtige Dokumente zu untersuchen?

Das dachte ich bisher auch. Auch in OSINT-Workshops wurde dieser Service angesprochen – auch ich habe die Seite hier unter Links empfohlen. Mittlerweile hat sich meine Meinung dazu geändert. Das hat im Wesentlichen zwei Gründe, die mich zu dem Ergebnis führen: Es gibt keinen Usecase für ein Unternehmen oder eine Behörde, um any.run zu nutzen.

Überlieferte Samples sind öffentlich

Das ist doppelt schlimm: Wer sich Malware beschaffen will, erstellt sich einen Account bei any.run, klickt auf „Public Submissions“ und kann sich hier munter Malware zum Weiterverschicken herunterladen (auch noch mundgerecht klassifiziert nach Schadcode-Typ).

Viel schlimmer sind aber die Samples, die keinen Schadcode enthalten. Das sind ECHTE Dokumente. Echte Daten. Aus Unternehmen, aus Behörden. Nicht verschlüsselt, weltweit abrufbar. Für jeden herunterladbar! Beispiele gefällig?

Covid-19-Kontaktnachverfolgung mit sensiblen personenbezogenen Daten, hier aus der Gemeinde Pretzfeld. Schwärzung: weisserhut.de
Personalangelegenheiten der Grundschule und Mittelschule Hallerndorf, Schwärzung: weisserhut.de

Interessanterweise sind viele deutschsprachige Dokumente aus dem bayerischen Raum. Grund genug für mich, den Landesdatenschutzbeauftragten des Landes Bayern einzuschalten. Rückmeldung bisher: Fehlanzeige. Viele Dokumente beziehen sich auf den Ort Forchheim, genauer: das Landratsamt Forchheim. Irgendjemand dort scheint es für eine gute Idee zu halten, Dokumente mit any.run zu scannen.

Beschaffungsdokumente aus Forchheim – Schwärzung: weisserhut.de

Natürlich finden auch andere Dokumente den Weg zu any.run, so etwa die einer Anwaltskanzlei:

Ein Dokument des Berliner Rechtsanwalts Heckmann – sicher nicht für das Internet bestimmt.. Schwärzung: weisserhut.de

Gruß auch an die Marketing-Abteilung von Dr. C. Soldan Holding + Bonbonspezialitäten GmbH – Ihre Urlaubsplanung für 2021 liegt auch öffentlich im Internet:

Die Schuld für die unbeabsichtigte Veröffentlichung ist natürlich nicht bei den Verfassern dieser Dokumente zu suchen. Sie haben wahrscheinlich diese Dokumente per Mail verschickt. Auf der Empfängerseite saß dann jemand, der den Cloud-Dienst any.run bemüht hat. Eine fatale Situation für alle Beteiligten. Eine Option zum Löschen öffentlicher Samples gibt es bei any.run nicht.

Das zweite Argument, was aus meiner Sicht gegen any.run in der kostenlosen Version spricht, ist: Es ist schlicht nutzlos.

Jedes Sandbox-System hat eine große Schwachstelle: Der Beobachtungszeitraum des Dateiverhaltens ist begrenzt. Er muss begrenzt sein, weil das System irgendwann seine Ressourcen wieder freigeben muss. Wer Malware-Autor ist, kann die Prüfung bei any.run locker überstehen, wenn er in seinem Schadcode eine Delay-Routine von 2 Minuten einbaut. So lange schaut any.run in der kostenlosen Version auf Manipulationen im System, dann ist der Untersuchungsprozess abgeschlossen.

Wer sagt aber, dass ein Anwender eine Datei nicht zwei Minuten offenhält, z. B. weil sie einen längeren Text enthält und die Lesedauer eben zwei Minuten übersteigt?