分析報告包含提交到雲端的檔案的詳細結果。概觀索引標籤顯示檔案分析的高階摘要。報告索引標籤顯示有關對檔案所執行之分析的關鍵資訊。
[概觀] 索引標籤
概觀資訊以下列幾個區段進行組織整理。
- 分析概觀
-
此區段提供檔案分析結果的摘要。會顯示下列資料:
- MD5 雜湊
- SHA1 雜湊
- SHA256 雜湊
- MIME 類型
- 提交時間戳記
- 威脅層級
-
此區段首先顯示分析結果摘要。
例如:發現檔案 md5_hash 為惡意檔案。
摘要後面顯示以下資料:
- 風險評估
-
- 惡意評分:總評分為 100。
- 風險估算:構件風險估計值。
- 高:構件存在嚴重風險,必須優先處理。此類主體通常是包含漏洞的特洛伊木馬檔案或文件,從而導致受感染系統遭到嚴重破壞。風險包括資訊洩露和系統運作異常等多個方面。這些風險有一部分是從偵測到的活動類型推斷的。通常此類別的評分臨界值 ≥ 70。
- 中:構件存在長期風險,必須密切監控。此類主體可以是包含可疑內容的網頁,其可能導致偷渡式攻擊。它們也可以是廣告軟體或偽防毒產品,其不會造成直接嚴重威脅,但可能導致系統運作出現問題。通常此類別的評分臨界值為 30-69。
- 低:構件為良性,可以忽略。通常此風險估算的評分臨界值低於 30。
- 防毒類別:構件所屬的防毒或惡意程式碼類別。例如,特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。
- 防毒系列:構件所屬的防毒或惡意程式碼系列。例如,valyria、darkside 等。
- 分析概觀
-
資料按嚴重性排序,包含以下欄位:
- 嚴重性:在構件分析期間偵測到的活動惡意程度的評分,該分數介於 0 到 100 之間。其他圖示指出分析期間在哪些作業系統中觀察到對應的活動。
- 類型:在構件分析期間偵測到的活動類型。其中包括:
- 自動啟動:能夠在電腦關機後重新啟動。
- 停用:能夠停用系統的關鍵元件。
- 規避:能夠避開分析環境。
- 檔案:檔案系統上的可疑活動。
- 記憶體:系統記憶體中的可疑活動。
- 網路:網路層級的可疑活動。
- 信譽:已知來源或由知名組織簽署。
- 設定:能夠永久更改關鍵系統設定。
- 特徵碼:惡意主體識別。
- 竊取:能夠存取且可能洩露機密資訊。
- 隱藏:能夠保持不被使用者或分析系統發現。
- 靜默:良性主體識別。
- 說明:對應到構件分析期間偵測到的每種活動類型的說明。
- ATT&CK 戰略:攻擊的某個或多個 MITRE ATT&CK 階段。多個戰略會以逗號分隔。
- ATT&CK 技術:觀察到的惡意執行者可能使用的動作或工具。多個技術會以逗號分隔。
- 其他構件
-
此區段列出在分析提交的樣本期間觀察到的其他構件 (檔案和 URL),並提交這些構件以進行深入分析。此區段包含以下欄位:
- 說明:描述其他構件。
- SHA1:其他構件的 SHA1 雜湊值。
- 內容類型:其他構件的 MIME 類型。
- 評分:其他構件的惡意程度評分。
- 解碼的命令列引數
- 如果在分析期間執行了任何 PowerShell 指令碼,系統會將這些指令碼解碼,以使其引數以更便於使用者閱讀的形式提供。
- 第三方工具
- 該連結指向 VirusTotal 入口網站上有關構件的報告。
[報告] 索引標籤
按一下報告索引標籤上的向下箭頭,並選取要檢視的報告。報告中的資訊會隨分析的檔案類型而有所不同。
- 分析資訊
-
此區段包含有關目前報告所涉及之分析的以下關鍵資訊:
- 分析主體:檔案的 MD5 雜湊。
- 分析類型:執行的分析類型:
- Microsoft Windows 10 上的動態分析:此分析主體在使用 VMware NSX® Network Detection and Response™ 沙箱的虛擬 Windows 10 環境中執行。系統監控檔案行為及其與作業系統的互動,以尋找可疑或惡意的指標。
- Microsoft Windows 7 上的動態分析:此分析主體在使用沙箱的虛擬 Windows 7 環境中執行。系統監控檔案行為及其與作業系統的互動,以尋找可疑或惡意的指標。
- 受監控 Chrome 瀏覽器中的動態分析:使用基於 Google Chrome 的受監控瀏覽器檢查分析主體 (如 HTML 檔案或 URL)。經檢測的瀏覽器可準確地重現實際瀏覽器的行為,因此,不容易被惡意內容取得指紋。
- 模擬瀏覽器中的動態分析:使用模擬瀏覽器檢查分析主體 (如 HTML 檔案或 URL)。模擬瀏覽器可以動態模擬不同的瀏覽器「特性」(例如,變更其使用者代理程式或更改其公開的 API)。在分析針對特定瀏覽器類型或版本的惡意內容時,此功能非常有用。此分析類型的缺點是,此瀏覽器較不真實,可能被惡意內容識破。
- 模擬的檔案檢視器中的動態分析:使用模擬的檔案檢視器檢查分析主體 (如 PDF 檔案)。檢視器可以偵測內嵌式內容和連結。
- 封存檔擴充:分析主體 (封存檔) 已擴充,其內容已解壓縮,如果是適當的類型,則提交進行分析。
- 使用的密碼:如果有,則提供在後端成功解密範例的密碼。