L'analisi del malware consente di determinare e analizzare i file sospetti sugli endpoint e all'interno delle reti utilizzando l'analisi dinamica, l'analisi statica o il reverse engineering completo.

Una solida pratica di analisi del malware aiuta nell'analisi, nel rilevamento e nella mitigazione di potenziali minacce. L'analisi del malware può aiutare le organizzazioni a identificare gli oggetti malevoli utilizzati in attacchi avanzati, mirati e zero-day.

L'analisi del malware è importante perché aiuta i team delle operation di sicurezza a rilevare rapidamente gli oggetti malevoli e a impedire che acquisiscano persistenza e causino distruzione all'interno dell'organizzazione.

Esistono tre tipi principali di analisi del malware:

1. L'analisi statica esamina i file alla ricerca di segnali di intento malevolo senza eseguire il programma. Questa forma può anche richiedere la revisione manuale da parte di un professionista IT dopo l'esame iniziale per condurre un'ulteriore analisi del modo in cui il malware interagisce con il sistema. L'analisi statica dei documenti cerca le anomalie nel file stesso, non nel modo in cui viene eseguito.

Cerca di rispondere a domande come quelle seguenti:

• Sono presenti anomalie strutturali come shellcode integrato, macro anomale o altri programmi eseguibili che normalmente non sarebbero presenti in un documento di questo tipo?
• Il documento presenta segmenti mancanti o aggiunti?
• Sono presenti file integrati?
• Sono presenti funzionalità di crittografia, impronte digitali o altre funzionalità sospette?
• C'è qualcosa di strano nel documento?

2. L'analisi dinamica si basa su un sistema chiuso (noto come sandbox) per avviare il programma malevolo in un ambiente sicuro e osservarne semplicemente il comportamento. L'ambiente di ispezione simula un intero host (che include CPU, memoria di sistema e tutti i dispositivi) per osservare in modo continuo tutte le azioni che gli oggetti malevoli possono intraprendere. Questo sistema automatizzato consente ai professionisti di guardare il malware in azione senza permettergli di infettare il sistema. L'analisi dinamica interagisce con il malware per carpire ogni comportamento malevolo, supporta l'automazione e risultati rapidi e accurati e aiuta a identificare e analizzare i punti oscuri nell'infrastruttura di un'organizzazione.

3. Il reverse engineering del malware implica il disassemblaggio (e talvolta le decompilazione) di un programma software. Attraverso questo processo, le istruzioni binarie vengono convertite in codici mnemonici (o costrutti di livello superiore) in modo che i tecnici possano osservare cosa fa il programma e quali sistemi colpisce. Solo conoscendo i dettagli, i tecnici possono creare soluzioni in grado di mitigare gli effetti malevoli perseguiti dal programma. I team di reverse engineering utilizzano vari strumenti per scoprire in che modo un programma si sta propagando in un sistema e a quale scopo è stato progettato. Così facendo, sono in grado di capire quali vulnerabilità il programma intendeva sfruttare.

VMware NSX Network Detection and Response (NDR) offre funzionalità avanzate di analisi del malware tramite una sandbox di emulazione dell'intero sistema che mostra tutte le interazioni del malware all'interno di un sistema operativo, inclusi i comportamenti evasivi e la visibilità approfondita su tutti gli artefatti che attraversano il data center, utilizzando tecniche avanzate di intelligenza artificiale.

VMware fornisce anche una soluzione di ricerca delle minacce e risposta agli incidenti on-premise tramite il rilevamento e la risposta degli endpoint (EDR) su base continua. L'EDR di VMware consente inoltre la visibilità negli ambienti offline, registrando e archiviando continuamente i dati sull'attività degli endpoint in modo che i professionisti IT possano affrontare le minacce in tempo reale.