Le rapport d'analyse contient les résultats détaillés de l'envoi d'un fichier dans le cloud. L'onglet Présentation affiche un résumé général de l'analyse des fichiers. L'onglet Rapport affiche des informations clés sur l'analyse effectuée sur le fichier.
Onglet Présentation
Les informations de présentation sont organisées dans les sections suivantes.
- Présentation de l'analyse
-
Cette section fournit un résumé des résultats de l'analyse de fichiers. Les données suivantes s'affichent :
- Hachage MD5
- Hachage SHA1
- Hachage SHA256
- Type MIME
- Horodatage d'envoi
- Niveau de menace
-
Cette section commence par un résumé des résultats de l'analyse.
Par exemple : le fichier md5_hash s'est avéré malveillant.
Après le résumé, les données suivantes s'affichent :
- Évaluation des risques
-
- Score de malveillance : un score sur 100.
- Estimation du risque : estimation de l'échec du risque par l'artefact.
- Élevé : l'artefact représente un risque critique et doit être résolu en priorité. Ces types d'objets sont généralement des fichiers ou des documents de type Cheval de Troie contenant des attaques, ce qui entraîne des compromissions majeures du système infecté. Les risques sont multiples : de la fuite d'informations au dysfonctionnement du système. Ces risques sont partiellement déduits du type d'activité détecté. Le seuil de score de cette catégorie est généralement ≥ 70.
- Moyen : l'artefact représente un risque à long terme et doit être surveillé étroitement. Ces objets peuvent être une page Web contenant du contenu suspect, entraînant potentiellement des tentatives d'infections. Il peut également s'agir de publiciels ou de logiciels antivirus factices qui ne représentent pas une menace grave immédiate, mais qui peuvent entraîner des problèmes de fonctionnement du système. Le seuil de score de cette catégorie est généralement compris entre 30 et 69.
- Faible : l'artefact n'est pas important et peut être ignoré. Le seuil de score de cette estimation du risque est généralement inférieur à 30.
- Catégorie d'antivirus : catégorie d'antivirus ou de programmes malveillants à laquelle appartient l'artefact. Par exemple, cheval de Troie, ver, publiciel, ransomware, logiciel espion, etc.
- Famille d'antivirus : famille d'antivirus ou de programmes malveillants auquel appartient l'artefact. Par exemple, valyane, darkside, etc.
- Présentation de l'analyse
-
Les données sont triées par gravité et incluent les champs suivants :
- Gravité : score compris entre 0 et 100 du niveau de malveillance des activités détectées lors de l'analyse de l'artefact. Des icônes supplémentaires indiquent dans quels systèmes d'exploitation l'activité correspondante a été observée lors de l'analyse.
- Type : types d'activités détectés lors de l'analyse de l'artefact. Il s'agit des opérations suivantes :
- Démarrage automatique : possibilité de redémarrer après un arrêt de la machine.
- Désactiver : possibilité de désactiver les composants critiques du système.
- Hypothèse : possibilité d'analyser l'environnement d'analyse.
- Fichier : activité suspecte sur le système de fichiers.
- Mémoire : activité suspecte dans la mémoire système.
- Réseau : activité suspecte au niveau du réseau.
- Réputation : source connue ou signée par une organisation de l'entreprise.
- Paramètres : possibilité de modifier de façon permanente les paramètres système critiques.
- Signature : identification de sujet malveillante.
- Vol : possibilité d'accéder à des informations sensibles et de les perdre.
- Furtif : possibilité de rester ignorée par les utilisateurs ou les systèmes d'analyse.
- Ignoré : identification en tant que qu'objet inoffensif.
- Description : description correspondant à chaque type d'activité détecté lors de l'analyse de l'artefact.
- TACTIQUES ATT&CK : la ou les étapes MITRE ATT&CK d'une attaque. Plusieurs tactiques sont séparées par des virgules.
- TECHNIQUES ATT&CK : les actions ou les outils observés qu'un acteur malveillant peut utiliser. Plusieurs techniques sont séparées par des virgules.
- Artefacts supplémentaires
-
Cette section répertorie les artefacts supplémentaires (fichiers et URL) qui ont été observés lors de l'analyse de l'échantillon soumis et qui ont été à leur tour soumis pour une analyse approfondie. Cette section inclut les champs suivants :
- Description : décrit l'artefact supplémentaire.
- SHA1 : hachage SHA1 de l'artefact supplémentaire.
- Type de contenu : type MIME de l'artefact supplémentaire.
- Score : score de malveillance de l'artefact supplémentaire.
- Arguments de ligne de commande décodés
- Si des scripts PowerShell ont été exécutés pendant l'analyse, le système décode ces scripts, rendant ses arguments disponibles sous une forme plus lisible par l'utilisateur.
- Outils tiers
- Lien vers un rapport sur l'artefact sur le portail VirusTotal.
Onglet Rapport
Cliquez sur la flèche vers le bas dans l'onglet Rapport et sélectionnez un rapport à afficher. Les informations contenues dans le rapport varient en fonction du type de fichier analysé.
- Informations d'analyse
-
Cette section contient les informations clés suivantes sur l'analyse à laquelle fait référence le rapport actuel :
- Sujet de l'analyse : hachage MD5 du fichier.
- Type d'analyse : type d'analyse effectué :
- Analyse dynamique sur Microsoft Windows 10 : L'objet de l'analyse a été exécuté dans un environnement virtuel Windows 10 à l'aide du sandbox VMware NSX® Network Detection and Response™. Le système surveille le comportement des fichiers et ses interactions avec le système d'exploitation à la recherche d'indicateurs suspects ou malveillants.
- Analyse dynamique sur Microsoft Windows 7 : L'objet de l'analyse a été exécuté dans un environnement virtuel Windows 7 à l'aide du sandbox. Le système surveille le comportement des fichiers et ses interactions avec le système d'exploitation à la recherche d'indicateurs suspects ou malveillants.
- Analyse dynamique dans le navigateur Chrome instrumenté : l'objet de l'analyse (tel qu'un fichier ou une URL HTML) a été inspecté à l'aide du navigateur instrumenté, qui est basé sur Google Chrome. Le navigateur instrumenté reproduit de façon incorrecte le comportement du navigateur réel et, par conséquent, il n'est pas facilement transmis à l'aide de l'empreinte digitale par du contenu malveillant.
- Analyse dynamique dans le navigateur émulé : le sujet de l'analyse (tel qu'un fichier ou une URL HTML) a été inspecté à l'aide du navigateur émulé. Le navigateur émulé peut émuler dynamiquement différentes « personnalités » de navigateur (par exemple, changer son agent utilisateur ou modifier les API qu'il expose). Cette fonctionnalité est utile lors de l'analyse d'un contenu malveillant qui cible des types de navigateurs ou des versions spécifiques. L'inconvénient de ce type d'analyse est que ce navigateur est moins réaliste et peut être identifié à l'aide de l'empreinte digitale par du contenu malveillant.
- Analyse dynamique dans la visionneuse de fichiers simulée : le sujet de l'analyse (tel qu'un fichier PDF) a été inspecté à l'aide de la visionneuse de fichiers simulée. La visionneuse peut détecter le contenu et les liens intégrés.
- Gonflement d'archive : le sujet de l'analyse (une archive) a été gonflé, son contenu a été extrait et, le cas échéant, a été soumis pour analyse.
- Mot de passe utilisé : s'il est disponible, le mot de passe qui a été utilisé dans le serveur principal pour déchiffrer correctement l'échantillon est fourni.