Strumenti come VirusTotal e Hybrid Analysis sono universalmente apprezzati e si rivelano eccellenti alleati nella lotta contro i malware, compresi quelli di nuova concezione.
I due servizi online utilizzano un approccio diverso: come abbiamo spiegato nella guida su VirusTotal questo strumento si occupa di sottoporre contemporaneamente a scansione antimalware uno stesso file usando decine di motori di produttori differenti.
Hybrid Analysis, invece, esegue o apre il file in una macchina virtuale, un po’ come farebbe l’utente: in questo modo è possibile saggiare il comportamento di qualsiasi file e ottenere un riscontro sulle modifiche applicate al sistema.
Questo strumento di analisi è particolarmente sicuro perché tutte le modifiche sono effettuate su un sistema virtuale eseguito sull’infrastruttura cloud di CrowdStrike (mentre VirusTotal è di proprietà di Google). Al termine della procedura Hybrid Analysis mette in evidenza le operazioni potenzialmente pericolose per la sicurezza dei dati e per la riservatezza delle informazioni personali degli utenti. Consente insomma di verificare se un file è infetto prima di aprirlo e di capire cosa sarebbe successo se si fosse eseguito lo stesso file sul proprio PC.
Hybrid Analysis cattura anche una serie di screenshot che mostrano le azioni via via eseguite dal file o il comportamento di un documento aperto con la suite Microsoft Office.
Heise mette in evidenza un aspetto importante che spesso viene trascurato: entrambe le piattaforme, come altre che permettono di analizzare file online, memorizzano e condividono gli elementi inviati dagli utenti con la comunità dei ricercatori e degli utenti iscritti al servizio. Non soltanto i file certamente dannosi o quelli potenzialmente tali ma anche elementi che dopo una scansione appaiono benigni.
VirusTotal consente agli “abbonati” titolari del piano VT Enterprise di effettuare ricerche avanzate tra i file caricati dagli utenti con la possibilità di accedere anche al loro contenuto. Per rendersene conto basta verificare le potenzialità di VTGrep.
Nel caso di Hybrid Analysis, cliccando su Advanced Search, si possono cercare ad esempio anche file DOCX o PDF caricati negli ultimi giorni dagli utenti.
Il problema è che in mezzo a tanti file dannosi si possono trovare volumi immensi di dati legittimi come documenti personali che contengono informazioni sensibili quali numeri di telefono, indirizzi postali, estremi delle carte di credito, IBAN, documenti d’identità e molto altro ancora.
Sia nel caso di VirusTotal che di Hybrid Analysis è facile rendersi conto di quante informazioni personali siano conservate sotto forma di documenti sui server dei due fornitori. Il fatto è che quelle stesse informazioni arrivano dagli utenti che caricano i dati online nel dubbio di avere a che fare con documenti potenzialmente dannosi.
Oltre al fatto che nella stragrande maggioranza dei casi è possibile il download dei file, Hybrid Analysis – scorrendo ciascun report – mostra una sezione chiamata Screenshot con le immagini dei documenti oggetto di scansione. Anche senza scaricare nulla è facile capire cosa contiene un file e rendersi conto di quali e quante informazioni personali contenga.
È quindi bene porre la massima attenzione su tutto ciò che si carica online: il rischio è quello di condividere con soggetti sconosciuti file legittimi e informazioni che dovrebbero restare riservate e che dovrebbero essere gelosamente custodite. Con il rischio di attacchi phishing “mirati” che è dietro l’angolo.
Gli utenti più evoluti possono crearsi il proprio server (isolato dal resto della rete) per l’analisi dei malware con una soluzione come Cuckoo Sandbox. Si può eseguire ad esempio una macchina virtuale host basata su Ubuntu Linux che ospita la sandbox e tutto il software necessario creando poi una virtual machine “nidificata” e isolata dal resto dell’infrastruttura che monta Windows 7 o Windows 10 e permette di generare report dettagliati sul comportamento di qualunque file sottoposto a scansione.