Quando un’azienda viene infettata da un malware, il primo passo è cercare, nel più breve tempo possibile, di rimuovere l’infezione. Per fare questo, il team IT si affida a un tool di analisi del malware per capire come questo virus si entrato nella rete, cosa fa e dove si nasconde. Al giorno d’oggi queste operazione non sono assolutamente facili: i pirati informatici hanno pensato a molti metodi per nascondere i malware, e questo rende la vita complicata ai vari tools presenti sul mercato nel scovarlo e debellarlo. Ma, disporre di un servizio di analisi del malware, disponibile direttamente sul cloud, può accelerare questi processi attraverso l’automazione.
Ci sono diversi strumenti di analisi del malware per il cloud che possono essere utilizzati liberamente da chiunque disponga di una connessione a internet. Nel corso degli anni però, molti di questi tools non sono più disponibili, tra cui Aerie, CWSandbox, Malbox, VisualThreat, XecScan e Norman Sandbox. Alcuni dei servizi ancora disponibili non sono stati aggiornati per diverso tempo, ma sono ancora funzionanti e utili per analizzare il malware direttamente dal cloud.
Formati di file supportati e tipi di documenti
Nel corso degli anni il malware è stato diffuso in diversi modi, sempre con l’obiettivo di raggiungere e infettare quanti più computer possibili. Payload maligni possono essere nascosti in vari formati di file e documenti, e anche questi devono essere controllati nel processo di rilevazione del malware. Infatti, un payload dannoso può celarsi in un documento PDF, e sarà scovato solo se il tool di analisi prevede il supporto, e quindi la scansione, anche dei file PDF. Un PDF può contenere un codice JavaScript dannoso. Il tool dovrebbe sezionare il PDF durante la scansione, analizzare il codice JavaScript (e per far questo deve integrare di un apposito strumento di analisi dedicato ai codice JavaScript) e determinare se questo è dannoso o meno. La presenza di un codice JavaScript in un PDF per forza di cose non è un sintomo di una minaccia. Per questo motivo il tool non dovrebbe segnalare il file PDF come pericoloso, solo perché contiene un codice JavaScript (in questo caso si parlerebbe di falso-positivo), ma dovrebbe essere in grado di analizzarlo e scovare solo eventuali codici maligni prima di contrassegnarlo come file pericoloso.
Ultimamente i pirati informatici nascono payload dannosi all’interno di file ampiamente utilizzati e documenti non necessariamente PDF. Un payload può essere infatti inserito in un qualsiasi dato collegato a un programma che genera il processo di infezione. Per questo motivo i tools di analisi disponibili sul cloud non sono in grado di analizzare ogni tipo di dati in ingresso, ma si limitano a scansionare i file e i tipi di documenti che un malware può utilizzare per diffondere un payload maligno. Non sarebbe quindi utile inserire il supporto ad alcuni dati di input che raramente o mai vengono utilizzati per nascondere i malware, ma al contrario sarebbe un grande vantaggio il supporto all’analisi di alcuni tipi di file, come gli eseguibili di Windows, che al contrario sono spesso utilizzati per diffondere i malware.
Ogni servizio cloud di analisi del malware automatizzato è focalizzato sulla fornitura di piattaforme che permettono un’analisi di una vasta gamma di tipi di file e documenti. La tabella seguente presenta tutti i formati di file e tipi di documenti supportati da ogni servizio cloud di analisi del malware. Ogni riga presenta un formato di file e documento utilizzato dal malware per scatenare un payload maligno, mentre le colonne evidenziano il nome del servizio cloud di analisi del malware.
A seconda del tipo di file da analizzare la tabella può essere utilizzato come riferimento per scegliere il servizio clud che supporta un determinato tipo di file. Ad esempio se un professionista della sicurezza un’azienda in generale, desidera che il servizio cloud analizzi gli eseguibili di Windows, controllando la tabella può facilmente individuare quale di questi ha integrata questa funzione. Quando più servizi cloud mettono a disposizione un determinata analisi dei file, si può decidere quale sia il migliore per la propria azienda. Da tenere presente che si possono utilizzare anche più servizi in contemporanea, visto che alcuni di questi sono in grado di rilevare malware solo in alcuni tipi di file, e viceversa.
Scegliere il giusto strumento cloud di analisi del malware
Ci sono un grande varietà di servizi cloud per l’analisi del malware disponibili al giorno d’oggi. Ogni servizio è in grado di analizzare solo una parte dei file e documenti che possono celare un malware. Pertanto, a seconda del file da analizzare è ovviamente meglio indirizzarsi su un servizio che lo supporti. Più file e tipi di documenti un determinato servizio può analizzare, meglio è. Ci può essere il caso in cui un pirata informatico possa iniettare il malware attraverso un file o documento non supportato da uno dei servizi cloud sopra elencati. Però, è anche da dire che essendo i tipi di file e documenti più comuni supportati, difficilmente un pirata informatico utilizza un formato di file o tipo di documento poco utilizzato, perché, è bene ricordarlo, lo scopo di un pirata informatico è infettare il maggior numero di PC, quindi cercando di far partire un payload da un tipo di file o documento diffuso in tutto il mondo (i file PDF sono un esempio lampante).
Anche se il tipo di file o documento è supportato dal servizio cloud, ciò non significa che si è totalmente al sicuro da infezioni di malware. Alcuni dai malware più sofisticati infatti utilizzano tecniche anti-rilevamento, che sono in grado di capire se il payload contenuto nel file infetto viene eseguito in ambiente automatizzato di analisi del malware e di bloccarlo prima che venga scansionato. I servizi cloud di analisi del malware dovrebbero essere utilizzati solo per accelerare il processo di analisi, mentre una volta individuato un file infetto le operazione conseguenti di cancellazione e indagine su come sia entrato nella rete devono essere svolte da un esperto del reparto IT dedicato alla sicurezza aziendale.
