Come verificare con Anubis se un file eseguibile può essere pericoloso

La rete Internet offre numerosi strumenti per verificare la bontà di un qualunque file. Gli strumenti più famosi sono quelli che consentono di sottoporre a scansione antivirus ed antimalware un elemento sospetto, ad esempio scaricato dalla Rete, utilizzando i più famosi motori. Il noto servizio VirusTotal (raggiungibile cliccando qui) consente di esaminare qualunque file, memorizzato sul proprio personal computer, con qualcosa come 42 motori antivirus differenti. Il servizio utilizza sempre l’ultima versione dei database delle firme virali messi a disposizione dai produttori di tutto il mondo. Più di recente (scheda Submit an URL) è stata introdotta la possibilità di esaminare anche degli indirizzi web con lo scopo di stabilire se la pagina indicata sia presente nelle “liste nere” elaborate quotidianamente da Google, Mozilla, Avira, BitDefender, G-Data, Opera, Trend Micro, Websense ed altre società.

Anubis, invece, utilizza un approccio differente: sviluppato dagli austriaci dell’International Secure Systems Lab (ISEC Lab), risultato di più di tre anni di ricerca e programmazione, il servizio può essere pensato come una sorta di “sandbox in-the-cloud“. Che significa? Trasmettendo ad Anubis un qualunque file eseguibile Windows, questo sarà automaticamente avviato in un ambiente sicuro allestito sulle macchine dei laboratori di ISEC.
Anubis provvederà poi a registrare tutte le azioni svolte dall’eseguibile preso in esame con particolare attenzione alle modifiche apportate alla configurazione del sistema operativo e del registro di Windows.

Un servizio di sandboxing online qual è Anubis, ovviamente, non esegue nulla sul sistema dell’utente ma avvia il programma da analizzare all’interno di una macchina virtuale remota, in un ambiente di testing del tutto sicuro. Al termine dell’operazione di analisi del comportamento dell’applicazione inviata dall’utente, la macchina virtuale remota viene eliminata ripristinando una copia “pulita” della stessa oppure riportata ad uno stato precedente all’installazione del file esaminato. All’utente, invece, viene consegnato un resoconto finale, disponibile in diversi formati (HTML, PDF, XML, testo puro).

Anubis era la divinità che, nella religione egizia, proteggeva le necropoli ed il mondo dei morti. Il dio egizio praticava la cosiddetta psicostasia ossia la “pesatura del cuore”, dell’anima del defunto, prima che questi fosse autorizzato a passare all’aldilà. E’ possibile allora che gli austriaci di ISEC Lab abbiano scelto il nome della divinità egizia per lo stesso motivo: l’Anubis dei giorni nostri, interrogabile via web, è in grado di soppesare l’anima di un qualunque file estraendone l’essenza ed evidenziando comportamenti maligni.

Cliccando su questo link è possibile ottenere alcuni esempi dei resoconti offerti da Anubis dopo l’analisi di note e pericolosissime minacce come i malware Sober.E, Bagle.E, Mydoom.E, Netsky.E e Parite.d.
Facendo clic su ciascun link quindi su “HTML“, mostrerà un report con almeno un’icona di colore rosso e, spesso, altre di colore arancione. Ad esempio, nel caso di Bagle.E, Anubis evidenzia immediatamente all’utente che il file sottoposto a scansione è da considerarsi altamente sospetto:

Come si vede, il servizio indica immediatamente che il campione analizzato applica una serie di modifiche alla configurazione del browser con lo scopo di alterare il comportamento dello stesso durante la navigazione sul web. Inoltre, crea copie di se stesso nelle cartelle di sistema di Windows ed applica modifiche pericolose ai file del sistema operativo.

Facendo riferimento alla sottostante sezione Table of contents, è possibile verificare l’elenco completo dei file aperti, creati o modificati nonché controllare tutte le modifiche apportate al registro di sistema di Windows.

Il funzionamento di Anubis è molto semplice: è sufficiente collegarsi con questa pagina scorrendola sino ad individuare il riquadro Choose the subject for analysis.
Cliccando sul pulsante Sfoglia, sarà poi possibile selezionare un file, già salvato sul proprio personal computer, in modo tale da trasmetterlo ad Anubis ed avviarne immediatamente l’analisi. Il file deve essere un eseguibile Windows (.EXE) e non superare le dimensioni massime di 8 MB.

In alternativa, si può fare riferimento anche all'”analisi avanzata”, raggiungibile cliccando su questo link. Qui non solo si potranno inviare file eseguibili ma anche file EXE memorizzati all’interno di archivi compressi in formato Zip (è sufficiente scegliere Zipped executable file dal menù a tendina Submission type anziché Executable file).

Inoltre, agendo su Number of auxiliary files è possibile decidere di inviare simultaneamente più file eseguibili (di dimensioni massime pari a 8 MB) da porre sotto la lente.
Anziché visualizzare i risultati dell’analisi sotto forma di una pagina web, poi, cliccando su Email si potrà decidere di riceverli comodamente nella propria casella di posta elettronica:

Facendo clic sul pulsante Submit for analysis posto in calce alla pagina (previo inserimento del codice alfanumerico di controllo), Anubis inizierà immediatamente l’elaborazione dei file trasmessi.

E’ importante evidenziare che, sia nella modalità di scansione semplificata che in quella avanzata, Anubis dà modo di controllare “la bontà” di qualunque URL. Selezionando la voce URL, non si dovrà indicare l’indirizzo di un eseguibile o di un file Zip ma quello di una pagina web. In questo caso, infatti, Anubis non “misurerà” la potenziale pericolosità di un file eseguibile Windows ma cercherà di stabilire se una pagina web contenga codice dannoso, utilizzato ad esempio per attacchi drive-by download.

Gli attacchi drive-by download, lo ricordiamo, sono ancor’oggi estremamente in voga. Essi vengono generalmente utilizzati per provocare il download automatico e l’esecuzione di codice dannoso sfruttando vulnerabilità (non sanate dall’utente mediante l’installazione delle varie patch di sicurezza) del browser web e del sistema operativo.