Anche se l'antivirus non segnala anomalie su un file sospetto, è notoriamente buona prassi cercare una seconda opinione, con applicazioni come Malwarebytes o siti come VirusTotal. Se tuttavia volete indagare più a fondo per capire meglio con che file avete a che fare, è disponibile online un servizio gratuito e molto ben strutturato: Threat Insights Portal.
Come si può leggere nelle presentazione nella sezione FAQ & Mission, il progetto é essenzialmente nato come aggregatore di report di malware, ma si è poi sviluppato attivando anche funzioni di analisi del contenuto e delle relazioni fra file, costituendo anche una community Discord aperta a contributi e collaborazioni.
Se curiosando nel sito vi imbattete in una pagina scritta in tedesco intitolata Datenschutzerklärung, niente paura, è solo una privacy policy antecedente a quella corrente pubblicata in inglese.
Per proporre file da analizzare è necessaria la registrazione, che al momento è solo su invito (ottenibile tramite il canale Discord gestito dallo sviluppatore del sito), ma rimane comunque possibile, senza usare mail o token, consultare i report di file già scansionati, magari usando come identificativo un hash piuttosto che il semplice nome del file. La ricerca consente inoltre l'utilizzo di operatori e parametri per affinare i risultati.
Dopo aver caricato un file da analizzare, se questo non è già presente nel database, sarà necessario aspettare qualche minuto che tutte le analisi delle varie piattaforme esterne vengano completate.
Consultare i report
I report sono ricchi di informazioni e associano analisi statica, ossia quella basata sul contenuto del file, e analisi dinamica, ossia basata su ciò che accade durante l'esecuzione del file (connessioni di rete, modifiche al registro, etc.), aggregando risultati di altri motori di analisi (vedere immagine sopra), delineando un quadro completo della possibile pericolosità del file. Chiaramente non sempre da un elevato numero di analisi, per giunta di tipologie e metodi differenti, è ottenibile un verdetto univoco e facile da interpretare (come già ricordato altrove per VirusTotal). Ci sono quindi casi in cui un file può essere inquadrato come malware secondo alcune analisi e come file pulito da altre; è quindi la capacità di analisi dell'utente ad avere l'ultima parola.
Passiamo alla pratica: in questo esempio, nella scheda Detections è possibile vedere come alcune piattaforme, fra cui i metamotori di scansione VirusTotal e Hybrid Analysis, considerino sicuro il file analizzato, mentre Kaspersky e altri non hanno dubbi sulla pericolosità del file.
Considerando che sia l'analisi statica svolta da Triage (che ha trovato una regola YARA per il file) che quella dinamica eseguita da AnyRun (con rilevamenti come questo in cui si aggiunge un'esclusione a Defender e questo comando PowerShell di policy execution bypass offuscato in Base64, che esegue un "WindowsRunetimeBroker.exe" localizzato sospettamente in .../AppData/Roaming) individuano l'appartenenza del file alla famiglia dei WeedHack RAT (Remote Access Trojan), in questo caso il verdetto finale non può che essere la condanna del file imputato.
A proposito di AnyRun, nella sezione Replay di Threat Insights Portal è possibile visionare e scaricare il video generato dalla suddetta piattaforma, che mostra i vari eventi connessi all'esecuzione del file.Nella scheda MalConfig vengono esplicitati i dettagli delle connessioni di rete avviate dall'eseguibile, mentre in quella Metadata ci sono i vari identificativi del file (dimensioni, MIME type, packer, identità tramite magic bytes, eventuali firme e vari hash). Nella scheda Multi-Scanner, in stile VirusTotal, vengono mostrati gli esiti della scansione con 35 motori di antivirus.
Molto utile la sezione Unpacked, che compare solo quando disponibile, in cui poter rintracciare l'analisi dei file contenuti e/o generati in un eseguibile, ad esempio sfogliando un classico "setup.exe" per verificare se i file estratti sono stati già analizzati e risultano "interessanti", come verrà prontamente segnalato dall'apposita etichetta rossa (v. sotto).
Usare responsabilmente il servizio
La submission policy ricorda che "Threat Insights Portal è una piattaforma di analisi malware, non un servizio generico di hosting o scansione file, é progettato esclusivamente per l'analisi e l'indagine di file sospetti o accertati come malevoli".
Quindi se si desidera solo avere un verdetto secco, del tipo si/no sulla pericolosità di un file, non è probabilmente lo strumento adatto essendo orientato principalmente all'analisi che, pur avendo per scopo un giudizio conclusivo, richiede competenze in ingresso adeguate per essere praticata proficuamente. Ne consegue anche che è esplicitamente proibito occupare i server con operazioni superflue, come scansionare file digitalmente firmati e notoriamente sicuri (come file di sistema o DLL e drivers noti), così come è quantomeno sconsigliato sottoporre file che non possono essere eseguiti perché puramente testuali; per maggiori informazioni consultare la submission policy.Trattandosi di una risorsa gratuita e ovviamente non illimitata come capacità di calcolo e connessione, è decisamente opportuno usarla responsabilmente e non abusare delle funzioni disponibili.
