¿ANY.RUN es gratuito?

Sí, ANY.RUN ofrece un plan gratuito (Community) que permite análisis públicos con Windows 10 x64, tiempo limitado a 60 segundos y acceso a la base de datos pública de análisis. Los planes de pago (Hunter/Enterprise) añaden análisis privados, más tiempo, más sistemas operativos y API.

¿Qué ventaja tiene ANY.RUN sobre otros sandboxes?

La interactividad. A diferencia de sandboxes automatizados como Cuckoo o Joe Sandbox, ANY.RUN permite al analista interactuar con la muestra en tiempo real: hacer clic en enlaces, abrir documentos, escribir en formularios. Esto es clave para malware que requiere interacción del usuario para detonarse.

¿Puedo analizar URLs además de archivos?

Sí. ANY.RUN soporta análisis de archivos (PE, Office, PDF, scripts, APK) y URLs. Para URLs, el sandbox abre el navegador y navega a la dirección, capturando toda la actividad de red, descargas y comportamiento.

¿Cómo extraigo IOCs de un análisis en ANY.RUN?

En la pestaña IOCs del reporte, ANY.RUN lista automáticamente IPs, dominios, URLs, hashes y otros indicadores. Puedes exportarlos en formato JSON, CSV o STIX. También puedes copiar hashes individuales desde la sección de procesos.

¿ANY.RUN detecta técnicas anti-sandbox?

Sí. ANY.RUN implementa contramedidas como hardware realista, nombre de usuario aleatorio y actividad de fondo simulada. En el plan de pago, puedes personalizar el entorno (nombre de equipo, idioma, zona horaria) para evadir checks específicos del malware.

IntermedioANY.RUNsandboxanálisisinteractivomalwarecloud

Guía Práctica de ANY.RUN: Análisis Interactivo de Malware en la Nube

Guía completa de ANY.RUN para analizar malware en un sandbox interactivo en la nube. Paneles clave, extracción de IOCs, integración MITRE ATT&CK y consejos para mejores análisis.

MalwareIntel Research·22 de mayo de 2026·7 min lectura

Serie: Guías de Herramientas — Parte 4

Por qué usar ANY.RUN

ANY.RUN es un sandbox interactivo en la nube que permite ejecutar malware en un entorno Windows real y observar su comportamiento en tiempo real. La diferencia clave con sandboxes automatizados: el analista controla la sesión como si estuviera sentado frente al equipo infectado.

Esto resuelve un problema fundamental: mucho malware moderno requiere interacción del usuario (abrir un documento, habilitar macros, hacer clic en un enlace) para detonarse. Los sandboxes automatizados fallan aquí. ANY.RUN no.

Qué ofrece

Capacidad	Descripción
Interactividad	Control en tiempo real del escritorio Windows
MITRE ATT&CK	Mapeo automático de técnicas detectadas
Red	Captura completa de tráfico (PCAP)
Procesos	Árbol de procesos con línea de comandos
IOCs	Extracción automática de indicadores
Comunidad	Base de datos pública de análisis previos

Flujo de análisis paso a paso

1. Subir la muestra

Accede a app.any.run y selecciona "New Task". Opciones:

Archivo: arrastra el fichero sospechoso (PE, Office, PDF, script, APK)
URL: pega la URL a analizar
Configura el entorno: Windows 10 x64 (gratuito), tiempo de análisis, red habilitada

2. Iniciar el análisis

Al pulsar "Run", ANY.RUN lanza una VM Windows limpia. El archivo se ejecuta automáticamente o se abre con la aplicación asociada. Desde este momento:

La pantalla muestra el escritorio Windows en tiempo real
Puedes interactuar: hacer clic, escribir, abrir menús
El cronómetro marca el tiempo restante

3. Monitorizar el comportamiento

Durante la ejecución, observa los paneles laterales:

Panel PROCESSES:
  Árbol de procesos con PID, nombre, línea de comandos
  Código de colores: rojo (malicioso), amarillo (sospechoso), verde (limpio)
  Click en proceso → detalle de API calls, ficheros, registro

Panel NETWORK:
  Conexiones DNS, HTTP/S, TCP, UDP
  Dominios contactados, IPs, puertos
  Contenido de peticiones HTTP (headers + body)

Panel FILES:
  Ficheros creados, modificados, eliminados
  Ficheros descargados desde la red
  Click para descargar el artefacto

Panel REGISTRY:
  Claves de registro creadas o modificadas
  Persistencia (Run, RunOnce, Services)

4. Revisar resultados

Al finalizar el tiempo, ANY.RUN genera un reporte completo:

Overview: veredicto (malicioso/sospechoso/limpio), score, tags
ATT&CK Matrix: técnicas detectadas mapeadas a MITRE
Processes: árbol completo con toda la actividad
Connections: todas las conexiones de red
IOCs: indicadores extraídos automáticamente

5. Extraer IOCs

IOCs extraidos automaticamente:
  - Hashes (MD5, SHA1, SHA256) del fichero original y dropped files
  - IPs contactadas (con geolocalizacion)
  - Dominios resueltos
  - URLs completas de C2 o descarga
  - Mutex creados
  - Ficheros dropped con hashes
  - Reglas YARA/Suricata que matchean

Exporta en JSON, CSV o STIX 2.1 desde el boton "Export".

6. Compartir y clasificar

Cada análisis tiene una URL pública (plan gratuito) o privada (plan de pago). Comparte con tu equipo o la comunidad. Añade tags para clasificar.

Paneles clave en detalle

OVERVIEW

La primera vista muestra el veredicto con código de colores y un listado de comportamientos detectados agrupados por categoría MITRE ATT&CK. Cada comportamiento tiene un enlace directo al proceso que lo generó.

PROCESSES

El árbol de procesos es la vista más valiosa. Muestra:

Campo	Qué buscar
Línea de comandos	PowerShell encoded, cmd.exe /c, mshta, regsvr32
Proceso padre	Word/Excel lanzando cmd/powershell = macro maliciosa
Ficheros creados	Drops en %TEMP%, %APPDATA%, startup
Conexiones	Proceso legítimo contactando IPs externas
Registro	Claves de persistencia (HKCU\Software\Microsoft\Windows\CurrentVersion\Run)

CONNECTIONS

La vista de red agrupa por protocolo:

DNS: resoluciones, especialmente dominios DGA o recién registrados
HTTP/S: peticiones con headers completos, ideal para extraer C2 URIs
TCP raw: conexiones a puertos no estándar (indicador de C2 custom)

ATT&CK MATRIX

ANY.RUN mapea automáticamente los comportamientos a técnicas MITRE ATT&CK v15. Cada técnica detectada enlaza al proceso y evento específico. Esto permite:

Documentar TTPs para threat intel reports
Correlacionar con campañas conocidas
Generar reglas de detección basadas en las técnicas observadas

Qué buscar durante un análisis

Ejecución de comandos sospechosos

Patrones criticos:
  cmd.exe /c powershell -enc [base64]
  mshta.exe http://[dominio]/payload
  certutil -urlcache -split -f http://
  bitsadmin /transfer
  regsvr32 /s /u /i:http://[url] scrobj.dll
  wscript.exe [fichero].vbs

Conexiones de red anómalas

Resoluciones DNS a dominios con alta entropía (posible DGA)
Conexiones HTTP POST recurrentes al mismo endpoint (beaconing)
Tráfico a IPs en rangos sospechosos o geolocalizaciones inusuales
Conexiones a puertos no estándar (4443, 8080, 8443, 9090)

Persistencia

Claves de registro Run/RunOnce
Tareas programadas (schtasks)
Servicios creados
Ficheros en carpetas de Startup
WMI event subscriptions

Inyección y evasión

Process hollowing (crear proceso suspendido + WriteProcessMemory)
DLL injection (LoadLibrary remoto)
Unhooking de DLLs de seguridad
Detección de sandbox (check de MAC, hostname, disco, RAM)

MITRE ATT&CK integrado

ANY.RUN identifica automáticamente ~170 técnicas MITRE. Las más comunes en análisis:

Técnica	ID	Frecuencia
Command and Scripting Interpreter	T1059	Muy alta
Phishing	T1566	Alta
Masquerading	T1036	Alta
Process Injection	T1055	Media
Boot/Logon Autostart	T1547	Media

Consejos para mejores análisis

Interactúa con la muestra. Si es un documento Office, habilita macros manualmente. Si es un phishing, haz clic en el enlace. El malware necesita tu interacción.
Usa el tiempo completo. Mucho malware tiene delays (sleep) antes de contactar C2. Si el análisis termina antes, no verás la comunicación.
Revisa el PCAP. Descarga la captura de red completa y analízala en Wireshark para detectar tráfico que ANY.RUN no haya parseado.
Consulta la base de datos pública. Antes de analizar, busca el hash en any.run/malware-trends. Puede que alguien ya lo haya detonado.
Personaliza el entorno (plan de pago). Cambia el hostname, idioma y zona horaria para evadir checks anti-sandbox específicos.

Plan gratuito vs de pago

Característica	Community (gratis)	Hunter	Enterprise
Análisis/mes	Ilimitados (públicos)	100-500 (privados)	Ilimitados
Tiempo máximo	60 segundos	10 minutos	Personalizable
SO disponibles	Windows 10 x64	Win 7/10/11, Linux	Todos + custom
Privacidad	Público	Privado	Privado + on-prem
API	Limitada	Completa	Completa + SOAR
YARA/Suricata custom	No	Sí	Sí

Integración con flujos de threat hunting

Flujo recomendado:
  1. Alerta en SIEM/EDR → extraer hash/URL sospechosa
  2. Buscar hash en ANY.RUN public DB (puede ya existir)
  3. Si no existe → detonar en ANY.RUN
  4. Extraer IOCs → alimentar SIEM/EDR con nuevos indicadores
  5. Mapear TTPs → actualizar detecciones basadas en MITRE
  6. Compartir reporte con el equipo SOC

Casos de uso principales

Análisis de malware desconocido: triaje rápido de muestras nuevas
Investigación de incidentes: detonar artefactos extraídos de endpoints comprometidos
Validación de alertas EDR/SIEM: confirmar si un fichero flagged es realmente malicioso
Análisis de phishing: abrir enlaces y documentos sospechosos en entorno seguro
Captura proactiva de IOCs: alimentar feeds de inteligencia internos

Fuentes y referencias

ANY.RUN. "Documentation." https://any.run/docs/
ANY.RUN. "Malware Trends Tracker." https://any.run/malware-trends/
MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/
Sikorski, M. & Honig, A. "Practical Malware Analysis." No Starch Press, 2012.

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis

Amazon (enlace afiliado)