VirusTotal Intelligence
VirusTotal Intelligence – программное обеспечение с расширенными возможностями для обнаружения, анализа угроз. С помощью сервиса специалисты выполняют поиск и блокировку атак со стороны вредоносного ПО до того, как будет нанесен вред.
На данный момент отзывов нет.
Программа ищет и анализирует как отдельные угрозы, так и служит «телескопом» для масштабных злонамеренных действий в Интернете.
В наборе данных VirusTotal имеются образцы вредоносных программ, URL-адреса, домены и IP-адреса в соответствии с вердиктами обнаружения антивируса, статическими функциями, шаблонами поведения. Образцы, согласно критериям поиска, можно загрузить для дальнейшего изучения.
Индикаторы статических угроз
Для отслеживания угрозы собирайте сигналы. Инструменты VirusTotal извлекают подозрительные сигналы. К ним относятся потоки кода OLE VBA в макросах документов Office, недействительные таблицы перекрестных ссылок в PDF-файлах, предупреждения системы обнаружения вторжений, активируемые в PCAP, метаданные Exif и пр. Используйте эти свойства в качестве IoC, чтобы выявлять проблемы в вашей сети.
Поиск по нескольким свойствам может выполняться с помощью расширенных модификаторов, а кампании субъектов угроз могут быть полностью сопоставлены с помощью поиска по сходству. Быстрый поиск двоичных n-грамм дополняет выявление по совпадению файлов, чтобы найти другие неизвестные варианты атаки и другое вредоносное ПО, которое относится к тому же субъекту угрозы.
Поведенческая активность и взаимодействие в сети
Вы можете узнать, как файлы вредоносных программ взаимодействуют между собой. VirusTotal активизирует файлы в виртуальных контролируемых средах для отслеживания их действий и связи. Таким образом, создаются подробные отчеты, включая открытые, созданные и записанные файлы, мьютексы, набор ключей реестра, контактные домены, поиск URL-адресов и т. д.
Возможности динамического анализа сосредоточены не только на трассировках выполнения, но и на запуске подключаемых модулей статического и динамического анализа. Это происходит для декодирования конфигураций вредоносных программ RAT и извлечения сетевой инфраструктуры, которая могла не прослеживаться во время выполнения в реальном времени.
Доступ к данным об угрозах
Получите информацию о расположении угроз и методах, используемых для распространения вредоносного ПО. VirusTotal запускает серверные процессы, такие как песочница, создание взаимосвязей между файлами, извлечение вложений электронной почты, сопоставление URL-адресов с файлами и маркировка файлов, поступающих из приманок. Сторонние инструменты, такие как пакет Microsoft Sysinternals, также предоставляют метаданные о реальных наблюдениях конечных пользователей за вредоносным ПО.
Взаимосвязи и модели
Воспользуйтесь преимуществами серверных процессов, чтобы понять взаимосвязи между файлами и сетью, обнаружить электронные письма, которые могут содержать данную угрозу. Также можете связать файлы с PCAP родительского сетевого трафика, обнаружить другие варианты, точно определить сжатые пакеты, содержащие эту угрозу.
Мощные инструменты поиска
Возможности кластеризации и поиска сходства
Поиск похожих файлов с использованием нескольких хэшей/алгоритмов: поиск совпадения контента ssdeep, imphash (хеш импортов), визуальное сходство значков и специальный хеш структурных функций.
Поиск контента
Поиск с малой задержкой случайных двоичных шаблонов, содержащихся в файлах, не только поиск строк, но и любой тип двоичной последовательности, основанный на индексе n-грамм размером 5 петабайт.
Эластичный поиск
Более 40 модификаторов можно использовать для поиска интересующих образцов вредоносных программ на основе статических, динамических и реляционных свойств. Пример: тип: type:dmg AND signature: "T8RS3R6DT4" AND metadata:"adharma" AND behaviour:"pkill -9 -i Flash Update 13.6 Installer" AND (behaviour:"rp.wacadacaw.com" OR behaviour:"os.wacadacaw.com")
Комбинируйте любое количество модификаторов
Параметры поиска можно комбинировать, чтобы идентифицировать файлы, соответствующие сложнейшим критериям, фильтровать шум, фокусироваться на угрозах, имеющих отношение к вашим расследованиям. Дополнительная информация, доступная для файлов, соответствующих вашим критериям поиска:
- метаданные отправки. Даты первого и последнего просмотра, количество представленных материалов, имена файлов для отправки, страны отправки, даты отправки, зашифрованный идентификатор отправителя, интерфейс отправки, количество отдельных отправителей и т. д;
- статическая информация. Sigcheck, информация об упаковщике, структура PE, атрибуты Exif, структура ELF, содержимое пакета, поток кода OLE VBA Macro, подозрительные свойства PDF, встроенные значки файлов;
- динамическая информация. Характеристика поведения посредством исполнения в песочнице для основных операционных систем: Windows, Android, OS X и Linux;
- полная информация о сканировании. Все отчеты по данному образцу, а не только последний снимок. Узнайте, как со временем эволюционируют средства обнаружения угроз, какова продолжительность существования вредоносных программ;
- метаданные телеметрии. Партнерские инструменты добавляют в набор данных расширенные метаданные ПК конечных пользователей, например ключи реестра Windows. В этих ключах исполняемый файл зарегистрирован для автоматического запуска при перезагрузке;
- БД Goodware и информация о белом списке. Индекс Goodware, голосование сообщества VirusTotal, объединение общедоступных баз данных Goodware, сведения о легальном ПО, внесенные в белый список, предоставленные ведущими партнерами и полученные из VirusTotal Monitor.
- VirusTotal Intelligence: удобная и быстрая программа для обнаружения и анализа угроз В статье расскажем, что собой представляет ПО VirusTotal Intelligence, чем отличаются тарифные планы, и почему с ним удобно и быстро работать.