Hybrid-Analysis

Che cos’è Hybrid-Analysis.com?

https://www.hybrid-analysis.com/

Questa pagina Web è un servizio gratuito di analisi del malware per la comunità. Utilizzando questo servizio è possibile inviare file per analisi statiche e dinamiche approfondite.

Cos’è Falcon Sandbox?

Falcon Sandbox è un framework di analisi del malware di fascia alta con un’architettura molto agile. Può essere implementato come un sistema su larga scala che elabora automaticamente centinaia di migliaia di file (utilizzando ad esempio la semplice API REST) ​​o come servizio web per la risposta agli incidenti, analisi forensi e/o come portale self-service aziendale. Grazie alla sua interfaccia semplice e alle numerose capacità di integrazione con altri fornitori di tecnologia, arricchisce perfettamente il flusso di lavoro di risposta agli incidenti e lo stack di sicurezza dei SOC. Falcon Sandbox è attualmente utilizzato da SOC, CERT, team DFIR, laboratori forensi di sicurezza IT, ricercatori e fornitori di servizi di intelligence sulle minacce in tutto il mondo. 

Quali caratteristiche ha Falcon Sandbox?

Se sei interessato alla licenza della versione completa di Falcon Sandbox (include il servizio web, API, monitor di runtime, controller di bilanciamento del carico, tecnologia di analisi ibrida, generatore di report, tutti gli indicatori, firme, script, ecc.) o hai domande, utilizza il nostro modulo di contatto.

Quali file può analizzare Falcon Sandbox?

Il sistema di analisi predefinito supporta qualsiasi tipo di PE (.exe, .scr, .pif, .dll, .com, .cpl, ecc.), Office (.doc, .docx, .ppt, .pps, .pptx, . ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, JAR eseguibile, Windows Script Component (.sct), Windows Shortcut (.lnk), Windows Help (.chm), HTML Application (.hta) , File script di Windows (*.wsf), Javascript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), Powershell (.ps1, .psd1, . psm1), Scalable Vector Graphics (.svg), script Python (.py) e Perl (.pl), eseguibili Linux ELF, MIME RFC 822 (*.eml), pacchetti Microsoft Installer(*.msi) e Outlook *.msg File.

Hybrid Security fornisce diversi ambienti di test Windows 7

È possibile aggiungere un indirizzo e-mail per le notifiche poiché potrebbe essere necessario del tempo prima che il file selezionato venga elaborato. Tuttavia, questo è facoltativo e se si mantiene aperta la finestra di scansione i risultati vengono visualizzati direttamente su di essa una volta completata la scansione.

L’analisi è ampia e ci vorrà del tempo per esaminarla. L’analisi ibrida mostra una valutazione complessiva delle minacce, tuttavia, che potresti trovare utile.

La pagina dei risultati è divisa in più parti. Inizia con una valutazione delle minacce che elenca i comportamenti potenzialmente dannosi, sospetti ed informativi.

Ad esempio, comportamenti dannosi possono elencare l’eliminazione di un driver di sistema o chiamate di funzioni native. Vengono visualizzate informazioni dettagliate per ciascun comportamento con l’elenco dei nomi e delle origini dei file.

La cosa interessante qui è che puoi cercare rapporti che corrispondono alla stessa firma. Se lo fai, viene visualizzato un elenco di file scansionati in precedenza che potrebbero aiutarti nell’analisi.

In seguito vengono visualizzati ampi dettagli sul file, inclusi vari hash, classificazione, informazioni sulla versione e informazioni sugli sviluppatori.

Un’altra parte interessante dell’analisi è la sequenza temporale degli screenshot che mostra vari passaggi di esecuzione. Se ad esempio aggiungi un file di installazione, tutti i passaggi della configurazione vengono visualizzati come schermate nella pagina dei risultati.

Viene evidenziato anche il traffico di rete, ovvero le richieste effettuate dal programma. Il servizio divide le informazioni in richieste DNS, host contattati e richieste HTTP. Le informazioni fornite possono essere utili in vari modi. Ad esempio, potresti bloccare host o siti prima di eseguire il programma sul tuo sistema o semplicemente assicurarti che le connessioni siano legittime