W twojej skrzynce pocztowej lub komunikatorze wylądowało hiperłącze, plik, ale nie masz pewności, co może skrywać? Stronę phishingową, witrynę z niebezpiecznym kodem albo ransomware? Najlepszym sposobem zabezpieczenia się przed konsekwencjami jest edukacja w tym zakresie oraz prewencja. Dlatego przedstawiamy kilka sposobów na łatwe i bezpieczne sprawdzenie linku przed otworzeniem. Dzięki tym narzędziom dowiesz się zawczasu, w co grają przestępcy i na jaką metodę chcieli Cię oszukać. Oto 7 narzędzi online i offline do skanowania linków i plików:
1. VirusTotal.com
To najpopularniejsze rozwiązanie online rozwijane przez Google. Znane jest z tego, iż wskazuje bezpieczeństwo linku lub pliku na podstawie wyników skanowania przy pomocy silników antywirusowych firm, które chcą w ten sposób współpracować z Google i dzielić się werdyktem online, zdobywając dla siebie informacje o plikach od użytkowników oraz inne artefakty, które są pomocne w tzw. Threat Intelligence. Wrzucając coś do VirusTotal, otrzymujesz wynik ze skanowania statycznego, a nie dynamicznego. Oznacza to, iż w przypadku plików uznanych za „bezpieczne, czyste, niezainfekowane”, wynik różni się od skanowania, gdyby produkt bezpieczeństwa był zainstalowany na Twoim komputerze. Jak działa VirusTotal i dlaczego wyniki skanowania są różne od tych w realu, opisujemy tutaj.
2. Opentip.Kaspersky.com
Firma Kaspersky udostępniła niedawno bezpłatną (częściowo) usługę Kaspersky Threat Intelligence do skanowania plików online, adresów IP oraz adresów URL. W pewnych sytuacjach może być używana jako alternatywa dla VirusTotal lub jako dodatkowe źródło opinii o bezpieczeństwie pliku, ponieważ w odróżnieniu od VirusTotal zastosowano tutaj wszystkie technologie Kaspersky: analiza statyczna, dynamiczna, globalny system reputacji plików oraz piaskownica. Portal Kaspsersky Threat Intelligence posiada też API, które może być używane w produktach i usługach bezpieczeństwa innych firm, ale jest to już opcja płatna. Wynikiem skanowania jest raport, który w podstawowym zakresie obejmuje wszystkie działania niebezpiecznego kodu, bez ryzyka otwierania strony we własnej przeglądarce.
3. PhishTank.com
Kolejny portal do sprawdzania bezpieczeństwa strony internetowej, ale wyłącznie pod kątem wyłudzania informacji oraz danych. PhishTank zawiera największą znaną nam bazę stron phishingowych, aktualizowaną na bieżąco. Jest to dobre źródło stron oszukańczych do weryfikowania skuteczności wykrywania tego rodzaju zagrożeń np. przez produkty antywirusowe. Uwaga: antywirusy w głównej mierze bazują na statycznym wykrywaniu phishingu, zatem muszą posiadać w swoje bazie niebezpieczną domenę. Skanowanie może odbywać się ponadto dzięki detekcji słów kluczowych, ilości wystąpień, maszynowego uczenia, dlatego test phishingowy może jest ciekawy, ale najlepszą obroną jest zdobyta wiedza o atakach socjotechnicznych i wykrywaniu tego rodzaju pułapek.
4. App.Any.Run
Jest to piaskownica systemu Windows wraz z podstawowymi aplikacjami (Word, Excel, PDF, ZIP itp.), która w czasie rzeczywistym wprowadza plik do systemu, uruchamia go oraz analizuje aktywność w systemie plików Windows. Wynikiem skanowania jest szczegółowy raport z aktywności sieciowej, zmianach w strukturze plików oraz procesach (drzewko procesów). Jest to użyteczne narzędzie dla osób, które już mają podstawy bezpieczeństwa.
5. Bezpieczne przeglądanie Google
Jest to tak zwany raport przejrzystości według Google, które bazuje na Google Safe Browsing – z tego samego, z którego korzystają deweloperzy przeglądarek, by skanować pobierane pliki oraz strony internetowe. Bezpieczeństwo adresów URL jest weryfikowane na podstawie skanowania statycznego, zatem jest to mniej użyteczna usługa dla świeżych zagrożeń. Na pewno warto do niej zaglądać ze względu na ogromny, globalny zasięg oraz bazę artefaktów IoC.
6. Windows Sandbox
Funkcja Windows Sandbox została wprowadzona do Windows 10 Pro i Windows 10 Enterprise jako uzupełnienie zabezpieczeń systemowych przed exploitami, a później do Windows 11 Pro oraz wersji biznesowych. Piaskownica Microsoftu to w rzeczywistości maszyna wirtualna wykorzystująca wbudowany hiperwizor Hyper-V, posiadająca funkcję przywracania migawek (przy każdym nowym uruchomieniu) i umożliwiająca dynamiczne współdzielenie plików z hostem, schowka, karty sieciowej. W Windows Sandbox możesz analizować załączniki pochodzące z kampanii ze spamem, dokumenty (faktury), skrypty oraz programy pod kątem szkodliwych aktywności, bez obaw o zainfekowanie środowiska pracy. Tutaj opisywaliśmy, jak aktywować Windows Sandbox.
7. Wirtualna maszyna
Na koniec zostawiamy najbardziej uniwersalne i wszechstronne rozwiązanie, które zawiera wszystkie cechy skanerów online oraz offline ze wszystkimi ich zaletami. Jedyną wadą jest konieczność uzbrojenia się w wiedzę, jak zbudować własny lab do analizy załączników, linków URL, aktywności sieciowej, procesów, modyfikacji kluczy rejestru Windows itp. Oczywiście do podstawowych wymagań wystarczające są wyżej wymienione narzędzia, ale jeżeli chcesz poznać coś nowego, zapoznaj się z naszym artykułem na temat narzędzi do analizy malware.
