Le soluzioni antimalware più abili nel riconoscimento dei malware sono quelle che non fanno troppo affidamento sui tradizionali database delle firme virali ma utilizzano, in primis, strumenti di scansione e verifica in tempo reale basati sull’analisi comportamentale e sul cloud (cosiddetta “intelligenza collettiva”).
La presenza di una soluzione antimalware sul sistema non dà garanzia che tutti i file che si scaricano siano esenti da minacce. Molte soluzioni per la sicurezza falliscono (non rilevando alcuna minaccia) se il malware è apparso in Rete molto di recente e usa tecniche per sottrarsi al corretto rilevamento. Come fare, allora, per verificare se un file è infetto prima di aprirlo?
Controllare se un file è infetto prima di aprirlo
Come sapere se un file è infetto prima ancora di eseguirlo sul sistema? Come assicurarsi che il file sia pulito ed evitare qualunque rischio di infezione?
Il primo consiglio, evidentemente, è quello di non aprire mai – subito – un allegato a un messaggio di posta elettronica oppure un file scaricato dalla Rete dando per buona la sua estensione. Un file presentato come un documento Word o PDF può essere in realtà un eseguibile perché proposto con una doppia estensione.
Il “trucchetto” è noto da tempo ed è proprio per questo motivo che consigliamo di attivare sempre la visualizzazione delle estensioni, anche quelle dei file conosciuti, in Windows (vedere Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi e Opzioni cartella in Windows 10, cosa c’è di nuovo e di vecchio).
In qualunque versione di Windows si può procedere accedendo al menu Visualizza, Opzioni di Windows Explorer, scegliendo la scheda Visualizzazione quindi disattivando la casella Nascondi le estensioni per i tipi di file conosciuti.
In Windows 10, cliccando su Visualizza viene mostrata – in bell’evidenza – la casella Estensioni nomi file, che dovrà essere abilitata.
Oltre a questa semplice accortezza, è sempre bene agire con la massima cautela tenendo presente che alcuni malware sono capaci di riutilizzare le liste dei contatti conservati sui PC infetti spacciando come provenienti da colleghi, conoscenti e amici messaggi che in realtà sono vettore di allegati malevoli (email spoofing; vedere Da dove arriva una mail e chi l’ha inviata?).
Ma come fare per verificare se un file è infetto, soprattutto quando l’antivirus installato in locale non rileva nulla di sospetto?
Per controllare se un file è pulito, uno degli strumenti più “gettonati” è senza dubbio VirusTotal.
Frutto di una delle tante acquisizioni di Google, il servizio verifica “la bontà” di qualunque file utilizzando le ultime versioni dei database delle firme virali impiegati da oltre 50 motori di scansione antimalware.
Un approccio del genere, come evidenziato nell’introduzione, ha degli evidenti limiti: talvolta qualche motore di scansione incappa in dei “falsi positivi” (ossia indica come minaccia file che in realtà non lo sono affatto) ma – cosa ancora più grave – non riesce a riconoscere minacce nuove, da poco apparse in Rete.Le minacce “0-day”, ovvero quelle che compaiono nel “giorno zero”, sono infatti le più critiche da riconoscere e neutralizzare usando un approccio che poggia esclusivamente sull’uso delle firme virali o, al massimo, su una semplice euristica.
È capitato, più volte, che minacce rivelatesi poi estremamente pericolose (se eseguite sul sistema) non vengano riconosciute dai motori tradizionali utilizzati su VirusTotal.
Soltanto a distanza di diverse ore dalla prima comparsa in Rete di una nuova minaccia, questa comincia a essere riconosciuta dai vari motori (perché isolata e analizzata in laboratorio dai tecnici delle varie società).
Strumenti come Malwr consentono allora di andare più in profondità.
In questo caso è prevista l’esecuzione del file inviato su una macchina virtuale allestita sul cloud (tanto che Malwr restituisce anche gli screenshot della fase di avvio dell’applicazione sottoposta a scansione).
Malwr attinge a VirusTotal per verificare se un file fosse già noto come malware ma, soprattutto, informa se una volta in esecuzione si configura per avviarsi automaticamente all’ingresso in Windows, quali host e domini contatta (un malware solitamente provvede a scaricare altre informazioni da server remoti o a inviare i dati personali dell’utente agli aggressori…), quali modifiche apporta su file system e registro di sistema.
Nell’immagine alcuni indizi forniti da Malwr che evidenziano come il file sottoposto a scansione sia evidentemente malevolo: avvia un componente server (che di per sé potrebbe non essere un problema), raccoglie il Product ID di Windows, prova a rallentare le operazioni di analisi, raccoglie informazioni personali dell’utente da tutti i browser installati sulla macchina, registra una serie di informazioni utili per identificare univocamente il sistema, modifica le regole firewall e si autoconfigura per essere eseguito a ogni avvio di Windows.Per avviare la scansione di qualunque file con Malwr, basta servirsi di questa pagina ed effettuare l’upload dell’elemento da controllare.
Molto utile è anche Hybrid Analysis che consente di avviare un’analisi anche sui pacchetti APK di Android (si può specificare se usare una macchina virtuale Windows 7 o Android).
Accedendo alle opzioni avanzate, prima di eseguire la scansione su Hybrid Analysis, si possono addirittura impostare dei comportamenti, che saranno tenuti all’interno della macchina virtuale, per simulare il comportamento di un qualunque utente. Questi strumenti spesso consentono di portare alla luce ulteriori abilità del malware e di sottoporle ad esame.
Cliccando su Online file, nella home page di Hybrid Analysis, si può addirittura richiedere la scansione di un file accessibile da un qualunque server online pubblicamente accessibile. In questo modo, non sarà neppure necessario scaricare in proprio il file da sottoporre a scansione ed effettuarne manualmente l’upload su Hybrid Analysis.
Altrettanto utile è Deepviz che effettua un’analisi comportamentale dei file inviati eseguendoli all’interno di una macchina virtuale.
Il responso di Deepviz (molto migliorato rispetto alla versione proposta fino a qualche tempo fa: Come eseguire scansione antivirus con Deepviz) mostra con chiarezza quali operazioni nocive vengono poste in essere dal file sottoposto ad esame.
In figura si vede ad esempio come il malware tenti di sottrarre credenziali FTP, acceda alle ultime attività del sistema (comprese le liste MRU di Windows), spii all’interno dei client email e sottragga informazioni, recuperi i dati di eventuali shell SSH, faccia razzìa delle password e delle altre informazioni custodite nei principali browser web.
La voce Scan result esprime un giudizio omnicomprensivo sul comportamento tenuto dal file oggetto di scansione.
Autore: IlSoftware.it