Um Relatório de Análise de Malware (MAR) é um documento que fornece uma análise profunda sobre a funcionalidade e o risco de uma nova ou evolutiva ameaça cibernética. Normalmente, um MAR categoriza a intenção maliciosa de um dado pedaço de malware pela forma como o código é executado e o que ele foi projetado para roubar. A documentação também permite que os leitores saibam como reconhecer sinais de infecção e como mitigar o risco.
O Sistema Nacional de Conscientização Cibernética, que é executado pelo Departamento de Segurança Interna dos EUA, dissemina Relatórios de Análise de Malware em alertas, feeds RSS e boletins informativos opt-in. Um MAR típico inclui as seguintes informações:
- Resumo -- explica quem fez a pesquisa.
- Findings -- descreve o que o malware é projetado para fazer.
- Recomendações -- fornece as melhores práticas para prevenir infecções e se recuperar delas.
Um Relatório de Análise de Malware (MAR) fornece às organizações uma análise detalhada de uma ameaça específica através da engenharia reversa manual do código malicioso. Primeiro, as propriedades estáticas do malware -- incluindo informações de cabeçalho, hashes, strings embutidas e recursos são freqüentemente coletados para fornecer aos pesquisadores indicadores de comprometimento. Em seguida, o comportamento do malware será observado e, finalmente, os engenheiros tentarão reverter manualmente o código para entender como ele funciona.
Geralmente, os MARs são criados por equipes de pesquisa dedicadas, seja na aplicação da lei, academia ou empresas de segurança. Por exemplo, o Departamento de Segurança Interna dos Estados Unidos (DHS) e o Federal Bureau of Investigation (FBI) recentemente emitiram um relatório conjunto de análise de malware sobre um novo cavalo de Tróia chamado HOPLIGHT. HOPLIGHT é um Trojan de porta traseira que tem sido usado por um grupo avançado de ameaça persistente (APT) na Coréia do Norte chamado Lazarus. O malware pode ler, escrever e mover arquivos. Ele também pode criar e matar processos e serviços, editar configurações de registro e fazer upload ou download de arquivos para (e de) um servidor remoto.