Cosa fa#
Il file EICAR non è un virus, ma una stringa di testo concordata a livello mondiale che deve essere rilevata come malevola da ogni software di sicurezza. Serve a verificare che la catena di rilevamento (Antivirus -> EDR -> SIEM) sia attiva e configurata correttamente.
La Stringa Standard#
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*Utilizzo nel SOC Lab#
- Validazione Agent: Scaricare il file su un host monitorato da wazuh per verificare la generazione dell'alert.
- Network Inspection: Inviare il file via HTTP (non HTTPS) per testare se l'IDS (Suricata) o il Firewall bloccano il download.
- Archivi Compressi: Testare il rilevamento dentro file
.zip,.tar.gzo archivi annidati (es. zip dentro zip).
Regole di Sicurezza#
- Nonostante sia innocuo, molti browser e firewall bloccheranno il download del sito
eicar.org. - Per i test in lab, è spesso necessario creare il file a mano:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test_eicar.com
Scenario Reale (Blue Team)#
Hai appena finito di installare Wazuh su 100 server. Come fai a sapere se le regole di malware detection funzionano davvero su tutti?
Esegui uno script che crea il file EICAR in /tmp/ su ogni macchina e verifichi che sulla dashboard SIEM appaiano 100 alert di "Virus detected". Se ne appaiono 98, hai 2 server con configurazioni errate.
Collegato a#
- wazuh — Per testare i moduli di detection
- observability — Validazione del monitoraggio
