W dzisiejszych czasach coraz więcej śmieci, spamu i celowo kierowanych maili phishingowych trafia do nas zazwyczaj drogą mailową. Znajdują się w nich załączniki z plikami, które udają faktury lub inne dokumenty. Przestępcy prześcigają się między sobą w wymyślaniu coraz bardziej skutecznych metod, które pomogą im ominąć nasze lub firmowe zabezpieczenia antywirusowe. Załączniki w mailach są zazwyczaj tak spreparowane, że na pierwszy rzut oka przypominają formaty PDF lub są spakowane w ZIP, RAR lub inny format. Programy antywirusowe niestety nie mają możliwości rozpakować takich plików, aby zajrzeć do środka i sprawdzić, co się w nich znajduje. Bardziej zaawansowane oprogramowanie antywirusowe posiada tzw. sandbox, w którym taki plik jest rozpakowywany, sprawdzany i dopiero potem przekazywany dalej, ale nie o sandboxach jest ten wpis.
Niektóre zainfekowane pliki są nierozpoznawalne przez system antywirusowy w danym momencie, na co wpływ ma kilka czynników, ale też nie o tym jest ten wpis. Jeden program antywirusowy może wykryć zagrożenie szybciej, inny później. Ale jak sprawdzić wątpliwy plik za pomocą kilkunastu silników antywirusowych różnych producentów jednocześnie? Są do tego specjalne strony internetowe, które to umożliwiają i są znienawidzone przez przestępców.
UWAGA: Nie wrzucaj na te strony dokumentów wrażliwych, np. firmowych, w których znajdują się dane poufne, które mogłyby zostać wykorzystane przez kogoś w internecie. Przestępcy również korzystają z tych serwisów, gdzie po wykupieniu konta premium jest dostęp do plików wrzuconych w celu ich sprawdzenia.
Ok, po trochu straszenia, teraz możemy przedstawić kilka ciekawych i już chyba bardzo popularnych portali do sprawdzania różnych plików czy linków pod kątem złośliwego oprogramowania.
Jednym z takich serwisów, który umożliwia sprawdzenie dowolnego pliku przez 80 silników antywirusowych, jest VirusTotal.
Kolejnym serwisem, który umożliwia nam sprawdzenie podejrzanego pliku, jest Hybrid-Analysis. Serwis ten wykorzystuje analizę hybrydową do wykrywania złośliwego oprogramowania. Oprócz analizy naszego pliku, potrafi on generować ciekawe i obszerne raporty, które z pewnością zadowolą zaawansowanych użytkowników, niezadowolonych jedynie informacją, że ich próbka jest niebezpieczna i rozpoznawalna przez oprogramowanie antywirusowe.
Kolejnym serwisem do analizowania podejrzanych plików jest ANY.RUN, który udostępnia środowisko testowe, w którym możemy otworzyć nasz plik bez konieczności tworzenia testowego środowiska na naszym komputerze. To zaoszczędza nam czas podczas szybkiego sprawdzania podejrzanego pliku. Aczkolwiek posiadanie własnego środowiska do testowania malware jest bardzo przydatne, to już należy do wyższej szkoły jazdy dla zainteresowanych, którzy lubią maltretować malware. Dodam tylko, że wadą takiego wirtualnego środowiska jest fakt, iż obecnie pisany malware stara się wykrywać maszyny wirtualne i nie uruchamia się na nich. Najlepszą metodą jest posiadanie pod biurkiem fizycznego komputera do testowania malware. Ale znów lekko odbiegłem od głównego tematu.
Więc ANY.RUN udostępnia, w skrócie, zautomatyzowane wirtualne środowisko do testowania plików, w którym możemy obserwować uruchamiane procesy oraz monitorować sieć. Jednym słowem, jest to bardzo przydatna usługa do szybkiego analizowania i sprawdzania naszych podejrzanych plików.
W tym momencie wskazujemy plik, który chcemy przesłać do analizy. W wersji darmowej możemy skorzystać tylko z domyślnych ustawień środowiska, w tym przypadku Windows 7 32-bit.
Proces tworzenia środowiska, w którym będziemy sprawdzać zachowanie naszego pliku.
Tak wygląda wirtualne środowisko do badania zachowania naszego pliku.
PODSUMOWANIE
Opisałem tu w dużym skrócie możliwości wymienionych serwisów, zachęcam do zapoznania się z nimi osobiście i przetestowania ich.
Źródła: