A análise de malware é a prática de determinar e analisar arquivos suspeitos em endpoints e redes usando técnicas de análise dinâmica, técnicas de análise estática ou engenharia reversa completa.

Uma prática forte de análise de malware contribui para a análise, a detecção e a mitigação de ameaças potenciais. A análise de malware pode ajudar as organizações a identificar objetos maliciosos usados em ataques avançados, direcionados e de dia zero

A análise de malware é importante porque ajuda as equipes de operações de segurança a detectar e impedir rapidamente que objetos maliciosos obtenham persistência e causem destruição dentro da organização.

Há três tipos principais de análise de malware:

1. A análise estática procura sinais de intenção maliciosa nos arquivos, sem executar o programa. Esse formulário também pode exigir uma revisão manual por um profissional de TI após o exame inicial para realizar análises adicionais sobre como o malware interage com o sistema. A análise estática de documentos procura anormalidades no próprio arquivo, e não no modo como ele é executado.

Ele busca responder a perguntas semelhantes a estas:

• Há anomalias estruturais, como código de shell incorporado, macros anormais ou outro programa executável que normalmente não estaria presente em um documento desse tipo?
• O documento tem segmentos ausentes ou adicionados?
• Há algum arquivo incorporado?
• Há alguma criptografia, impressão digital ou outros recursos suspeitos?
• Há algo estranho no documento?

2. A análise dinâmica baseia-se em um sistema fechado (conhecido como sandbox) para iniciar o programa malicioso em um ambiente seguro e apenas observar o que ele faz. O ambiente de inspeção simula um host inteiro (incluindo a CPU, a memória do sistema e todos os dispositivos) para observar continuamente todas as ações que os objetos maliciosos podem executar. Esse sistema automatizado permite que os profissionais observem o malware em ação sem permitir que ele infecte o sistema. A análise dinâmica interage com o malware para obter todos os comportamentos mal-intencionados, oferece suporte à automação e às descobertas rápidas e precisas, além de ser capaz de identificar e analisar imprecisões na infraestrutura de uma organização

3. A engenharia reversa de malware envolve a desmontagem (e, às vezes, a descompilação) de um programa de software. Por meio desse processo, as instruções binárias são convertidas em mnemônicos de código (ou estruturas de nível superior) para que os engenheiros possam analisar o que o programa faz e quais sistemas ele afeta. Somente conhecendo seus detalhes é que os engenheiros são capazes de criar soluções que podem mitigar os efeitos maliciosos do programa. Uma engenharia reversa (também conhecida como "reversor") usará uma série de ferramentas para descobrir como um programa está se propagando por um sistema e para que ele foi projetado. Ao fazer isso, o reversor saberia quais vulnerabilidades o programa pretendia explorar.

O VMware NSX Network Detection and Response (NDR) oferece recursos avançados de análise de malware por meio de uma sandbox de emulação de sistema completo que mostra todas as interações de malware em um sistema operacional, incluindo comportamentos evasivos e visibilidade profunda de todos os elementos que passam pelo data center usando técnicas avançadas de IA.

A VMware também fornece solução local de busca de ameaças e resposta a incidentes por meio do Endpoint Detection and Response (EDR) contínuo. O EDR da VMware também oferece visibilidade em ambientes off-line, registrando e armazenando continuamente dados de atividades de endpoints para que os profissionais de TI possam identificar as ameaças em tempo real.