Инструменты для анализа вредоносных ссылок и файлов

Перевод Comss.ru. По материалам Windows Secrets

Каждый день вредоносные сайты и вложения пытаются вынудить пользователей загрузить их опасное содержимое.

К счастью, существует большое количество веб-ресурсов и инструментов, которые помогают выяснить, какие сайты являются безопасными, а какие представляют собой ловушку, предназначенную для кражи персональной информации и денежных средств.

Киберпреступники стали хитрее и умнее, становится все труднее обнаружить вредоносный сайт или файл.

Тем не менее, обладая определенной информацией, некоторые мошеннические уловки несложно обнаружить. Например, при получении звонка от сотрудника Microsoft, который утверждает, что согласно отчетам ваша система заражена вредоносными программами, можно быть уверенным, что это мошенничество. Microsoft никогда не осуществляет звонки совершенно неожиданно, пользователь первоначально должен самостоятельно обратиться в центр поддержки.

Тем не менее, распознать, является ли электронное письмо или внешняя ссылка опасными, может быть довольно сложной задачей. Приведем несколько полезных инструментов и стратегий для выявления хорошо замаскированных угроз.

Помощь от онлайн-ресурсов

Предположим, что Вы не хотите проверять подозрительные ссылки из браузера каждый день. Серьезно рассмотрите вопрос использования виртуальной машины или конфигурации с двойной загрузкой для тестирования подозрительных ссылок и файлов. В наше время виртуальные машины совсем несложно развернуть, используя Microsoft Hyper-V, Oracle VirtualBox или VMware Workstation. Просто помните: виртуальная система должна иметь собственную действительную лицензию.

Затем Вы, скорее всего, захотите добавить в закладки веб-сервисы, которые позволяют загружать подозрительные файлы и проверять потенциально опасные сайты. Иногда подобные ресурсы сообщают, что вредоносная ссылка известна для антивирусных вендоров, но в других случаях они подчеркивают, что антивирусные продукты не всегда помечают зловредные объекты.

Начнем со всеми известного ресурса VirusTotal. При получении электронного сообщения с ZIP-архивом, нелишним будет проверить вложенный файл с помощью данного сервиса. Конечно, необязательно, что приложенный архив всегда будет вредоносным. Тем не менее, рекомендуется не открывать ZIP-архивы без проверки, если только передача файла не была предварительно согласована.

Если антивирус не позволяет скачать файл (чтобы впоследствии загрузить на VirusTotal), значит, продукт распознал вредоносное содержимое. Согласно отчету VirusTotal только 13 из 57 антивирусных движков обнаружили угрозу в тестовом вложении.

Рисунок 1. VirusTotal показывает, что только 13 из 57 антивирусных движков распознали подозрительный ZIP-файл как вредоносный

Существует большое количество веб-ресурсов, которые помогают обнаружить вредоносные файлы или ссылки, а именно:

• fortiguard.com/antivirus/virus_scanner.html – данный сайт сканирует вредоносные файлы и выводит отчет о потенциальных проблемах с безопасностью;
• hybrid-analysis.com – Вы можете загрузить файлы на данный сайт, но не умеет работать с архивами;
• malwr.com/submission/  – позволяет загружать файлы и проверять, какие процессы будут запущены. Сервис также показывает, сколько антивирусных движков VirusTotal сработали.
• metascan-online.com – еще один сайт для проверки потенциально опасных файлов, которые могут содержать вредоносный контент;
• phishtank.com – проверяет, содержится ли ресурс в базе известных мошеннических сайтов;
• urlquery.net – (обратите внимание, что используется доменная зона net, адрес в зоне com зарегистрирован посторонним лицом) данный сервис сканирует ссылки сайта на предмет вредоносных файлов и опасной активности;

  
  Рисунок 2. Проверка веб-сайта с помощью сервиса urlQuery

• virusscan.jotti.org – загрузка файлов для анализа;
• vms.drweb.com/online/ – проверяет файлы, но не работает с архивами;
• websense.com – анонимно можно загружать для анализа не более пяти ссылок в день. При регистрации учетной записи, Вы сможете загружать большее количество файлов. Бесплатно возможно сканировать только только веб-ссылки, проверка вложений электронной почты доступна только платным пользователям;
• wepawet.iseclab.org – Сервис позволяет загружать подозрительные файлы и вводить ссылки для обзора. Сервис обрабатывает только Flash, JavaScript, и PDF файлы — проверка ZIP-архивов отсутствует.

Примечание: Все данные сайты поддерживают защищенный протокол HTTPS.

Существуют более продвинутые инструменты для исследования вредоносных веб-серверов и их местоположений или для отслеживания источников отправления опасных электронных писем.

Опять же, многие инструменты доступны из Интернета, приведем лишь некоторые из них. (Примечание: Вам нужно проверить условия использования у вашего провайдера и внутреннее законодательство, чтобы убедиться в легитимности использования данных инструментов против сайтов, которые Вы не контролируете. Для тестовых нужд использовался собственный сайт редактора).

• abuseipdb.com - ресурс, который проверяет вредоносную активность других сайтов (поддержка HTTPS отсутствует);
• ipvoid.com - данный сайт позволяет проверить, был ли конкретный IP адрес вовлечен во вредоносную активность (поддержка HTTPS отсутствует);
• mxtoolbox.com/Public/Tools/EmailHeaders.aspx - введите заголовок сообщения, чтобы определить, откуда оно было отправлено;

  
  Рисунок 3. MxToolbox расшифровывает заголовки сообщений электронной почты для получения диагностической информации

• quttera.com/website-malware-scanner - проверяет веб-сайты на предмет вредоносной активности;
• rexswain.com/httpview.html  - показывает активность анализируемого сайта в браузере (поддержка HTTPS отсутствует);

  
  

• robtex.com - предоставляет информацию о настройках DNS и пиринге;
• sitecheck.sucuri.net/ - используйте данный сервис для проверки вредоносной активности и ошибок сайта;
• virustracker.net - анализирует, был ли IP-адрес замешан во вредоносной активности.

На сайте Internet Storm Center размещена отдельная страница, которая будет полезна при исследовании потенциальных источников вредоносного содержимого. Страница содержит ссылки на некоторые сторонние сервисы, например anubis.iseclab.org/, который умеет анализировать файлы Android на предмет угроз и http://threatstop.com/checkip, который проверяет репутацию веб-сайта на предмет вредоносной истории.

Сохраняйте безопасность вашей системы и будьте в курсе!

Разумеется, после посещения потенциально опасных сайтов и загрузки подозрительных файлов, Вы захотите проверить свою систему с помощью антивирусного сканера, ведь есть вероятность, что Вы случайно инфицировали виртуальную машину или неосновную систему.

Для тщательной глубокой проверки Windows эффективнее использовать загрузочные антивирусные инструменты, например Kaspersky Rescue Disk. Сканирование с помощью альтернативной ОС помогает выявлять угрозы, которые успешно скрываются от защиты для Windows. Примечание, если Вы используете современный компьютер с UEFI, Вам нужно будет выполнить дополнительные манипуляции для запуска загрузочного диска.

Своевременная информация об актуальных изменениях вредоносного ПО также улучшит вашу безопасность. Вредоносные атаки часто поступают волнами, поэтому важно знать, какие типы атак в данный момент находятся в пике.

Среди иностранных источников актуальной информации об угрозах можно выделить OUCH! Security Awareness Newsletter  и популярный сайт Krebs on Security (Брайан Кребс является бывшим журналистом Washington Post, который сейчас пишет об активности киберпреступников).

Как всегда, если есть сомнения, не стоит все списывать на паранойю. Если Вы получили странное письмо от известного источника, узнайте, действительно ли оно отправлялось вам. Большинство обычных пользователей сети теперь знают, что в некоторых сообщениях могут подменяться адреса отправителей.  Вредоносные ресурсы воруют список контактов Gmail, Яндекс, Hotmail и Yahoo, которые содержат ваше имя и имена знакомых.

Компьютерная безопасность всегда будет представлять собой противоборство между новыми и инновационными методиками взлома и развивающимися защитами. В настоящее время, регулярное обновление антивируса не является достаточной мерой безопасности. Для профилактики заражений подумайте, прежде чем переходить по подозрительной ссылке.

Для пользователей, которые трепетно относятся к безопасности, приведенные ссылки определенно будут полезны.