Der Analysebericht enthält die detaillierten Ergebnisse einer Dateiübermittlung an die Cloud. Auf der Registerkarte Übersicht wird eine allgemeine Zusammenfassung der Dateianalyse angezeigt. Auf der Registerkarte Bericht werden wichtige Informationen zu der Analyse angezeigt, die für die Datei durchgeführt wurde.
Registerkarte „Übersicht“
Die Übersichtsinformationen sind in die folgenden Abschnitte untergliedert.
- Analyseübersicht
-
Dieser Abschnitt enthält eine Zusammenfassung der Ergebnisse der Dateianalyse. Die folgenden Daten werden angezeigt:
- MD5-Hash
- SHA1-Hash
- SHA256-Hash
- MIME-Typ
- Zeitstempel der Übermittlung
- Bedrohungsstufe
-
Dieser Abschnitt beginnt mit einer Zusammenfassung der Analyseergebnisse.
Beispiel: Die Datei md5_hash wurde für bösartig befunden.
Nach der Zusammenfassung werden die folgenden Daten angezeigt:
- Risikobewertung
-
- Bösartigkeitsbewertung: Eine Punktzahl von 1 bis 100.
- Risikoschätzung: Eine Schätzung des durch das Artefakt bedingten Risikos.
- Hoch: Das Artefakt stellt ein kritisches Risiko dar und muss vorrangig behandelt werden. Bei diesen Subjekten handelt es sich in der Regel um Trojanerdateien oder Dokumente, die Exploits enthalten, was zu größeren Kompromittierungen des infizierten Systems führt. Die Risiken sind zahlreich und reichen von Datenlecks bis hin zu Funktionsstörungen im System. Diese Risiken werden teilweise aus dem erkannten Aktivitätstyp abgeleitet. Der Schwellenwert für die Bewertung für diese Kategorie beträgt in der Regel ≥ 70.
- Mittel: Das Artefakt stellt ein langfristiges Risiko dar und muss eng überwacht werden. Bei solchen Subjekten kann es sich um eine Webseite mit verdächtigen Inhalten handeln, die zu Gelegenheitsangriffsversuchen führen kann. Es kann sich auch um Adware oder falsche Antivirusprodukte handeln, die zwar unmittelbar keine schwerwiegende Bedrohung darstellen, die jedoch Funktionsstörungen im System verursachen können. Der Schwellenwert für die Bewertung für diese Kategorie liegt in der Regel im Bereich von 30 bis 69.
- Niedrig: Dieses Artefakt ist ungefährlich und kann ignoriert werden. Der Schwellenwert für die Bewertung für diese Risikoschätzung liegt in der Regel unter 30.
- Antivirenklasse: Die Antiviren- oder Malware-Klasse, zu der das Artefakt gehört. Beispiele: Trojaner, Würmer, Adware, Ransomware, Spyware usw.
- Antivirus-Familie: Die Antivirus- oder Malware-Familie, zu der das Artefakt gehört. Beispiel: Valyria, Darkside usw.
- Analyseübersicht
-
Die Daten sind nach Schweregrad sortiert und enthalten die folgenden Felder:
- Schweregrad: Eine Bewertung der Bösartigkeit der bei der Analyse des Artefakts erkannten Aktivitäten auf einer Skala von 0 bis 100. Zusätzliche Symbole geben an, bei welchen Betriebssystemen die entsprechende Aktivität während der Analyse beobachtet wurde.
- Typ: Die Arten von Aktivitäten, die während der Analyse des Artefakts erkannt wurden. Hierzu gehören:
- Autostart: Möglichkeit zum Neustarten nach dem Herunterfahren eines Computers.
- Deaktivieren: Möglichkeit, kritische Komponenten des Systems zu deaktivieren.
- Evasion: Möglichkeit, die Analyseumgebung zu umgehen.
- Datei: Verdächtige Aktivität im Dateisystem.
- Arbeitsspeicher: Verdächtige Aktivität innerhalb des Systemarbeitsspeichers.
- Netzwerk: Verdächtige Aktivität auf Netzwerkebene.
- Reputation: Bekannte Quelle oder von einer renommierten Organisation signiert.
- Einstellungen: Möglichkeit, kritische Systemeinstellungen dauerhaft zu ändern.
- Signatur: Identifizierung eines bösartigen Subjekts.
- Datenraub: Möglichkeit, auf vertrauliche Informationen zuzugreifen und diese potenziell weiterzugeben.
- Tarnung: Fähigkeit, von Benutzern oder Analysesystemen unbemerkt zu bleiben.
- Im Hintergrund: Erkennung eines ungefährlichen Subjekts.
- Beschreibung: Eine Beschreibung, die jedem Aktivitätstyp entspricht, der während der Analyse des Artefakts erkannt wurde.
- ATT&CK-TAKTIKEN: Die MITRE ATT&CK-Phase oder Phasen eines Angriffs. Mehrere Taktiken werden durch Kommas getrennt.
- ATT&CK-METHODEN: Die beobachteten Aktionen oder Tools, die ein bösartiger Akteur verwenden könnte. Mehrere Methoden werden durch Kommas getrennt.
- Zusätzliche Artefakte
-
In diesem Abschnitt werden zusätzliche Artefakte (Dateien und URLs) aufgelistet, die während der Analyse des übermittelten Beispiels beobachtet und wiederum für eine eingehende Analyse übermittelt wurden. Dieser Abschnitt enthält die folgenden Felder:
- Beschreibung: Beschreibt das zusätzliche Artefakt.
- SHA1: Der SHA1-Hash des zusätzlichen Artefakts.
- Inhaltstyp: Der MIME-Typ des zusätzlichen Artefakts.
- Bewertung: Die Bösartigkeitsbewertung des zusätzlichen Artefakts.
- Entschlüsselte Befehlszeilenargumente
- Wenn während der Analyse PowerShell-Skripts ausgeführt wurden, entschlüsselt das System diese Skripts, damit die Argumente in lesbarerer Form zur Verfügung stehen.
- Drittanbietertools
- Ein Link zu einem Bericht über das Artefakt im Portal „VirusTotal“.
Registerkarte „Bericht“
Klicken Sie auf der Registerkarte Bericht auf den Pfeil nach unten und wählen Sie einen anzuzeigenden Bericht aus. Die Informationen im Bericht variieren je nach analysiertem Dateityp.
- Analyseinformationen
-
Dieser Abschnitt enthält die folgenden wichtigen Informationen zur Analyse, auf die sich der aktuelle Bericht bezieht:
- Analysegegenstand: Der MD5-Hash der Datei.
- Analysetyp: Der Typ der durchgeführten Analyse:
- Dynamische Analyse von Microsoft Windows 10: Der Analysegegenstand wurde in einer virtuellen Windows 10-Umgebung mithilfe der VMware NSX® Network Detection and Response™-Sandbox ausgeführt. Das System überwacht das Verhalten der Datei und ihre Interaktionen mit dem Betriebssystem auf Anzeichen für verdächtiges oder bösartiges Verhalten.
- Dynamische Analyse von Microsoft Windows 7: Der Analysegegenstand wurde in einer virtuellen Windows 7-Umgebung mithilfe der Sandbox ausgeführt. Das System überwacht das Verhalten der Datei und ihre Interaktionen mit dem Betriebssystem auf Anzeichen für verdächtiges oder bösartiges Verhalten.
- Dynamische Analyse in instrumentiertem Chrome-Browser: Der Analysegegenstand (z. B. eine HTML-Datei oder eine URL) wurde mithilfe des instrumentierten Browsers auf Google Chrome-Basis überprüft. Der instrumentierte Browser gibt das Verhalten des realen Browsers originalgetreu wieder und lässt sich daher nicht leicht durch einen Fingerabdruck von bösartigem Content infizieren.
- Dynamische Analyse in emuliertem Browser: Der Analysegegenstand (z. B. eine HTML-Datei oder eine URL) wurde mithilfe des emulierten Browsers überprüft. Der emulierte Browser kann dynamisch verschiedene Browser-„Persönlichkeiten“ emulieren (z. B. seine Benutzeragenten ändern oder die von ihm angezeigten APIs variieren). Diese Funktion ist nützlich bei der Analyse von bösartigem Content, der auf bestimmte Browsertypen oder Versionen abzielt. Der Nachteil dieses Analysetyps ist, dass dieser Browser weniger realistisch ist und möglicherweise durch einen Fingerabdruck von bösartigem Content infiziert werden kann.
- Dynamische Analyse in simuliertem Datei-Viewer: Der Analysegegenstand (z. B. eine PDF-Datei) wurde mithilfe des simulierten Datei-Viewers überprüft. Der Viewer kann eingebettete Inhalte und Links erkennen.
- Archiverweiterung: Der Analysegegenstand (ein Archiv) wurde erweitert, sein Inhalt wurde extrahiert und bei entsprechendem Typ der Analyse unterzogen.
- Verwendetes Kennwort: Wenn verfügbar, wird das Kennwort bereitgestellt, das im Back-End zum erfolgreichen Entschlüsseln des Beispiels verwendet wurde.