Un Malware Analysis Report (MAR) è un documento che fornisce un'analisi approfondita della funzionalità e del rischio di una minaccia informatica nuova o in evoluzione. In genere, un MAR classifica l'intento dannoso di un determinato malware in base a come viene eseguito il codice e cosa è stato progettato per rubare. La documentazione consente inoltre ai lettori di sapere come riconoscere i segni di infezione e come mitigare il rischio.
Il National Cyber Awareness System, gestito dal Dipartimento per la sicurezza interna degli Stati Uniti, diffonde rapporti di analisi del malware in avvisi, feed RSS e newsletter di partecipazione. Un MAR tipico include le seguenti informazioni:
- Riepilogo: spiega chi ha effettuato la ricerca.
- Risultati: descrive ciò per cui è progettato il malware.
- Raccomandazioni: fornisce le migliori pratiche per prevenire le infezioni e risolverle.
Un Malware Analysis Report (MAR) fornisce alle organizzazioni un'analisi dettagliata di una minaccia specifica mediante il reverse engineering manuale del codice dannoso. In primo luogo, le proprietà statiche del malware, tra cui informazioni di intestazione, hash, stringhe incorporate e risorse, vengono spesso raccolte per fornire ai ricercatori indicatori di compromissione. Successivamente, verrà osservato il comportamento del malware e, infine, gli ingegneri cercheranno manualmente di invertire il codice per capire come funziona.
In generale, i MAR sono creati da team di ricerca dedicati, nelle forze dell'ordine, nel mondo accademico o nelle imprese di sicurezza. Ad esempio, il Dipartimento per la sicurezza interna degli Stati Uniti (DHS) e il Federal Bureau of Investigation (FBI) hanno recentemente pubblicato un rapporto congiunto di analisi del malware su un nuovo cavallo di Troia chiamato HOPLIGHT. HOPLIGHT è un Trojan backdoor che secondo quanto riferito è stato utilizzato da un gruppo di minacce persistenti avanzate (APT) in Corea del Nord chiamato Lazarus. Il malware può leggere, scrivere e spostare file. Può anche creare e terminare processi e servizi, modificare le impostazioni del registro e caricare o scaricare file su (e da) un server remoto.