Il report di analisi contiene i risultati dettagliati di un'invio di file al cloud. La scheda Panoramica include un riepilogo dettagliato dell'analisi del file. La scheda Report include informazioni chiave sull'analisi eseguita nel file.
Scheda Panoramica
Le informazioni della scheda Panoramica sono organizzate nelle sezioni seguenti.
- Panoramica dell'analisi
-
Questa sezione include un riepilogo dei risultati dell'analisi del file. Sono disponibili i dati seguenti:
- Hash MD5
- Hash SHA1
- Hash SHA256
- Tipo MIME
- Data e ora di invio
- Livello di minaccia
-
Questa sezione inizia con un riepilogo dei risultati dell'analisi.
Ad esempio, il file md5_hash è stato giudicato dannoso.
Dopo il riepilogo, vengono visualizzati i dati seguenti:
- Valutazione del rischio
-
- Punteggio di pericolosità: punteggio su 100.
- Stima del rischio: stima del rischio rappresentato dall'artefatto.
- Alto: l'artefatto rappresenta un rischio critico e deve essere gestito con priorità. Questi oggetti sono in genere file o documenti Trojan che contengono exploit in grado di compromettere gravemente il sistema infetto. I rischi sono molteplici, dalla perdita di informazioni al non corretto funzionamento del sistema. Questi rischi vengono in parte dedotti dal tipo di attività rilevato. La soglia del punteggio per questa categoria è in genere ≥ 70.
- Medio: l'artefatto rappresenta un rischio a lungo termine e deve essere monitorato attentamente. Questi oggetti possono essere pagine Web contenenti contenuti sospetti che possono causare tentativi di drive-by. Possono anche essere adware o prodotti antivirus falsi che non rappresentano una minaccia grave nell'immediato ma possono causare problemi di funzionamento del sistema. La soglia del punteggio per questa categoria è in genere da 30 a 69.
- Basso: l'artefatto non è dannoso e può essere ignorato. La soglia del punteggio per questa stima di rischio è in genere inferiore a 30.
- Classe di antivirus: classe di antivirus o malware a cui l'artefatto appartiene. Ad esempio, trojan horse, worm, adware, ransomware, spyware e così via.
- Famiglia di antivirus: famiglia di antivirus o malware a cui l'artefatto appartiene. Ad esempio, valyria, darkside e così via.
- Panoramica dell'analisi
-
I dati sono ordinati in base alla gravità e includono i campi seguenti:
- Gravità: punteggio compreso tra 0 e 100 che indica la pericolosità delle attività rilevate durante l'analisi dell'artefatto. Icone aggiuntive indicano in quali sistemi operativi è stata osservata l'attività corrispondente durante l'analisi.
- Tipo: tipo di attività rilevata durante l'analisi dell'artefatto. Sono incluse le voci seguenti:
- Avvio automatico: possibilità di riavviare dopo l'arresto di una macchina.
- Disabilitazione: possibilità di disattivare i componenti critici del sistema.
- Evasione: possibilità di evadere dall'ambiente di analisi.
- File: attività sospetta nel file system.
- Memoria: attività sospetta all'interno della memoria di sistema.
- Rete: attività sospetta a livello di rete.
- Reputazione: origine nota o firmata da un'organizzazione attendibile.
- Impostazioni: possibilità di modificare in modo permanente le impostazioni di sistema critiche.
- Firma: identificazione dell'oggetto dannoso.
- Furto: possibilità di accedere e rubare informazioni sensibili.
- Mascheramento: possibilità di non farsi notare dagli utenti o dai sistemi di analisi.
- Silenziamento: identificazione di un oggetto non dannoso.
- Descrizione: descrizione corrispondente a ogni tipo di attività rilevata durante l'analisi dell'artefatto.
- Tattiche ATT&CK: fase MITRE ATT&CK o fasi di un attacco. Più tattiche sono separate da virgole.
- Tecniche ATT&CK: azioni o strumenti che un utente malintenzionato potrebbe utilizzare. Più tecniche sono separate da virgole.
- Artefatti aggiuntivi
-
Questa sezione include gli artefatti aggiuntivi (file e URL) che sono stati osservati durante l'analisi del campione inviato e che sono stati a loro volta inviati per un'analisi approfondita. Questa sezione include i seguenti campi:
- Descrizione: descrive l'artefatto aggiuntivo.
- SHA1: hash SHA1 dell'artefatto aggiuntivo.
- Tipo di contenuto: tipo MIME dell'artefatto aggiuntivo.
- Punteggio: punteggio di pericolosità dell'artefatto aggiuntivo.
- Argomenti della riga di comando decodificati
- Se durante l'analisi sono stati eseguiti script di PowerShell, il sistema decodifica questi script rendendo i loro argomenti disponibili in una forma più leggibile.
- Strumenti di terze parti
- Collegamento a un report sull'artefatto nel portale di VirusTotal.
Scheda Report
Fare clic sulla freccia in giù nella scheda Report e selezionare un report da visualizzare. Le informazioni disponibili nel report variano in base al tipo di file analizzato.
- Informazioni sull'analisi
-
Questa sezione include le seguenti informazioni chiave sull'analisi a cui fa riferimento il report corrente:
- Oggetto dell'analisi: hash MD5 del file.
- Tipo di analisi: tipo di analisi che è stata eseguita:
- Analisi dinamica in Microsoft Windows 10: l'oggetto dell'analisi è stato eseguito in un ambiente di Windows 10 virtuale utilizzando il sandbox di VMware NSX® Network Detection and Response™. Il sistema monitora il comportamento del file e le sue interazioni con il sistema operativo per individuare indicatori sospetti o dannosi.
- Analisi dinamica in Microsoft Windows 7: l'oggetto di analisi è stato eseguito in un ambiente di Windows 7 virtuale utilizzando il sandbox. Il sistema monitora il comportamento del file e le sue interazioni con il sistema operativo per individuare indicatori sospetti o dannosi.
- Analisi dinamica nel browser Chrome strumentato: l'oggetto dell'analisi (ad esempio un file HTML o un URL) è stato esaminato utilizzando il browser strumentato basato su Google Chrome. Il browser strumentato riproduce fedelmente il comportamento del browser reale e pertanto non è facilmente soggetto a furto di impronte digitali da parte di contenuti dannosi.
- Analisi dinamica in un browser emulato: l'oggetto dell'analisi (ad esempio un file HTML o un URL) è stato esaminato utilizzando un browser emulato. Il browser emulato può emulare dinamicamente "personalità" di browser diversi ad esempio, cambiando il suo agente utente o modificando le API che espone. Questa funzionalità è utile quando si analizzano contenuti dannosi destinati a tipi o versioni di browser specifici. Lo svantaggio di questo tipo di analisi è che questo browser è meno realistico e può essere soggetto a furto di impronte digitali da parte di contenuti dannosi.
- Analisi dinamica in un visualizzatore di file simulato: l'oggetto dell'analisi (ad esempio un file PDF) è stato esaminato utilizzando un visualizzatore di file simulato. Il visualizzatore può rilevare contenuti e collegamenti incorporati.
- Ingrandimento dell'archivio: l'oggetto dell'analisi (un archivio) è stato ingrandito, il suo contenuto è stato estratto e, se del tipo appropriato, è stato inviato per l'analisi.
- Password utilizzata: se disponibile, viene fornita la password utilizzata nel back-end per decrittografare correttamente il campione.