Многие знают что для того чтобы развеять свои сомнения касательно безопасности скачанного с интернета файла, всегда можно открыть сервис VirusTotal и проверить файл на предмет вредоносного кода более чем 50-ю антивирусными программами. Выданные VirusTotal результаты можно считать окончательными, если наличие зловреда в файле определили сразу несколько антивирусов, причем это должны быть хорошо зарекомендовавшие себя программы, поскольку ложное срабатывание малоизвестными инструментами тоже не редкость. С другой стороны, расхожее мнение антивирусов может расцениваться как своего рода недостаток сервиса, способный ввести пользователя в заблуждение. VirusTotal использует сигнатуры, то есть готовые антивирусные базы, анализ производится без какой-либо эвристики. Разумеется, это не делает сервис малополезным, но было бы неплохо иметь под рукой какой-нибудь альтернативный инструмент определения угроз, использующий дополнительные механизмы анализа. Ну что же, такие инструменты есть.
Одним из них, но единственным, является Hybrid Analysis - бесплатный сервис для проверки файлов и веб-страниц на предмет заражения вредоносным кодом.
В отличие от VirusTotal, представляющего собой солянку антивирусов, Hybrid Analysis является скорее песочницей. Когда вы отправляйте на проверку в файл, сервис запускает его в изолированной среде VirtualBox или VMware, а затем смотрит, как он поведет себя в системе. На основании произведенных файлом изменений выдается заключение о его безопасности или вредоносности.
Объяснение это сильно упрощенное, в реальности проверка Hybrid Analysis представляет собой сложный метод разбора, объединяющий анализ статических и динамических данных с использованием современных алгоритмов, благодаря чему существенно повышается эффективность обнаружения опасного кода
Внешне принципом работы Hybrid Analysis похож на VirusTotal, пользователь указывает через веб-форму ссылку или файл, последний отправляется на сервер, где проводится его проверка.
Сервисом поддерживается сканирование разных исполняемых и прочих типов файлов, которые могут содержать программный код. Если файлов несколько, можно запаковать их в архив RAR или ZIP, но его размер не должен превышать 100 Мб. Для сканирования доступны также веб-ссылки, имеется возможность поиска отчетов о ранее выполненных проверках по IP, домену и контрольной сумме, поиск отчетов YARA (инструмент классификации образцов вредоносных программ).
При отправке файла на анализ пользователь может выбрать ОС, в которой он будет запущен на исполнение. Доступны Windows 7 32- и 64-бит, Linux Ubuntu и Android, для которой пока что поддерживается только статический анализ.
По завершении анализа Hybrid Analysis выдает результаты - общий отчет c проверки по двум сервисам VirusTotal и MetaDefender, и собственно сам отчет Falcon Sandbox с прилагаемыми скриншотами серии запуска в виртуальной системе. Последний включает подробное описание файла, результаты гибридного и сетевого анализа.
Что есть еще?
Вот список похожих сервисов от LENNY ZELTSER, учителя из SANS:
AMAaaS (Android files)
Any.run (Community Edition)
Intezer Analyze (Community Edition)
Detux Sandbox (Linux binaries)
Joe Sandbox Cloud (Community Edition)
SecondWrite (free version)
И насколько мне известно есть такое же у Касперского и DrWeb-а.
Успехов.
No comments:
Post a Comment
А что вы думаете по этому поводу?