VirusTotal Intelligence: Skuteczne wykrywanie i analiza zagrożeń

20 Czerwca 2023

W dzisiejszym cyfrowym świecie cyberbezpieczeństwo staje się coraz bardziej istotnym i ważnym tematem. Wraz ze wzrostem liczby i złożoności cyberzagrożeń konieczne jest posiadanie skutecznych narzędzi do wykrywania i analizy tych zagrożeń w celu ochrony systemów i danych. Jednym z takich narzędzi jest VirusTotal Intelligence. VirusTotal Intelligence to zaawansowane rozwiązanie w dziedzinie cyberbezpieczeństwa, które oferuje możliwość wykrywania i analizy zagrożeń w czasie rzeczywistym. Zapewnia on dostęp do obszernej bazy danych zagrożeń i metadanych, co umożliwia użytkownikom skuteczne rozpoznawanie i badanie nowych oraz istniejących zagrożeń. W tym artykule omówimy, czym jest VirusTotal Intelligence, jak pomaga w szybkim wykrywaniu i analizowaniu zagrożeń, a także jakie korzyści oferuje użytkownikom. 

Przeanalizujemy również praktyczne wskazówki dotyczące korzystania z VirusTotal Intelligence oraz najlepsze praktyki w zakresie skutecznego analizowania wyników i podejmowania decyzji opartych na danych dostarczonych przez to narzędzie. Jeśli celem jest zapewnienie bezpieczeństwa w środowisku online i szybka reakcja na zagrożenia, zapoznanie się z VirusTotal Intelligence jest ważnym krokiem. Zagłębmy się więc głębiej w ten innowacyjny instrument i dowiedzmy się, jak może on pomóc w ochronie systemu i danych przed cyberzagrożeniami.

VirusTotal Intelligence to potężna usługa oferowana przez firmę VirusTotal, która zapewnia rozszerzone możliwości wykrywania i analizy zagrożeń w dziedzinie cyberbezpieczeństwa. Opiera się na platformie chmurowej i umożliwia dostęp do obszernej bazy danych zagrożeń i metadanych.

1. Obszerna baza danych zagrożeń: VirusTotal Intelligence posiada jedną z największych baz danych zagrożeń w branży cyberbezpieczeństwa. Ta baza danych zawiera miliony próbek złośliwego oprogramowania, wirusów, trojanów, programów ransomware i innych zagrożeń. Dzięki temu użytkownicy VirusTotal Intelligence mogą szybko i dokładnie określić, czy plik lub adres URL jest szkodliwy czy bezpieczny.

2. Metadane i informacje o zagrożeniach: VirusTotal Intelligence dostarcza nie tylko wyniki skanowania i wykrywania zagrożeń, ale także cenne metadane i informacje z nimi związane. Obejmuje to informacje o pochodzeniu zagrożenia, cechy, rodzaj złośliwego oprogramowania, powiązane pliki i wiele innych. Dzięki tym danym użytkownicy mogą lepiej zrozumieć zagrożenie, jego zachowanie i potencjalne konsekwencje.

3. Integracja z innymi narzędziami: VirusTotal Intelligence oferuje możliwość integracji z innymi narzędziami i systemami cyberbezpieczeństwa. Użytkownicy mogą wykorzystać interfejs API VirusTotal Intelligence do automatyzacji procesów wykrywania i analizy zagrożeń, zintegrować go z własnymi systemami bezpieczeństwa i rozszerzyć funkcjonalność swoich narzędzi.

4. Rozszerzone funkcje analizy: VirusTotal Intelligence oferuje rozbudowane funkcje analizy zagrożeń, które pomagają użytkownikom uzyskać głęboką wiedzę na temat charakterystyk zagrożenia. Obejmują one możliwość przeprowadzania analizy dynamicznej, statycznej analizy kodu, wyszukiwania powiązanych próbek oraz analizy podobieństwa plików. Takie funkcje pomagają wykryć ukryte lub zaawansowane zagrożenia i podjąć odpowiednie środki w celu zapewnienia bezpieczeństwa.

Wykorzystanie VirusTotal Intelligence staje się nieodłączną częścią strategii cyberbezpieczeństwa, zapewniając niezawodną ochronę przed zagrożeniami i skuteczną analizę potencjalnych ryzyk. Połączenie obszernej bazy danych zagrożeń, metadanych i zaawansowanych funkcji czyni VirusTotal Intelligence nieocenionym narzędziem w zapewnianiu bezpieczeństwa w obszarze technologii informacyjnych.

Przedstawiam tabelę porównawczą różnych wersji VirusTotal:

	Virus Total Basic	Virus Total Professional	Virus Total Enterprise
VT Premium API lookups	1000	10000	30000
Pobieranie zapytań wyszukiwania i próbek z VT	300 zapytań	1000 zapytań	5000 zapytań
Wyszukiwanie zagrożeń (Retro Hunts)	2 Zagrożeń na miesiąc	5 Zagrożeń na miesiąc	25 Zagrożeń na miesiąc
Reguły YARA	5 reguł	25 reguł	100 reguł
Wsparcie techniczne	Wliczone	Wliczone	Wliczone
Cena	15 840 €	63 360 €	145 728 €

Jak korzystać z programu, rzeczywiste przykłady

VT Intelligence oferuje unikalną możliwość korzystania z klucza "entity" podczas wyszukiwania, umożliwiając precyzyjne określenie żądanego typu wyniku. Każda jednostka ma swoje specjalne modyfikatory, a tutaj przedstawione są bezpośrednie odnośniki do dokumentacji dotyczącej plików, adresów URL, adresów IP i domen. Oto tylko kilka przykładów dla każdej z nich: entity:ip asn:"15169" communicating_files_max_detections:30+ entity:domain downloaded_files_max_detections:20+ entity:url p:3+ have:tracker entity:file tag:signed p:10+ entity:collection name:apt or tag:apt

Istnieje kilka różnych metod badania działań konkretnych zagrożeń za pomocą VT Intelligence. Jeśli nie masz innych danych źródłowych oprócz nazwy kampanii lub rodziny złośliwego oprogramowania, możesz użyć wyszukiwania werdyktu AV VTI: 

engines:wellmess

Jeśli potrzebujesz otrzymać werdykt od określonego dostawcy, możesz także podać go w zapytaniu:

avast:wellmess OR eset:wellmess

Podczas korzystania z funkcji wyszukiwania w VT Intelligence możesz użyć słowa kluczowego "entity", aby uzyskać dokładne wyniki dla określonego typu informacji. Dla każdego rodzaju jednostki istnieją określone modyfikatory, a tutaj znajdziesz bezpośrednie odnośniki do dokumentacji dotyczącej plików, adresów URL, adresów IP i domen. Oto kilka przykładów użycia każdego z nich: entity:ip asn:"15169" communicating_files_max_detections:30+ entity:domain downloaded_files_max_detections:20+ entity:url p:3+ have:tracker entity:file tag:signed p:10+ entity:collection name:apt or tag:apt

Możesz również wyszukiwać w konkretnej kolekcji, co jest wygodne, gdy masz wiele jednostek. Na przykład, możesz użyć następującego zapytania: collection:alienvault_60eff240c7c9cb4f24907049 entity:file type:pedll p:10+ Aby uzyskać identyfikator kolekcji, możesz spojrzeć na pasek adresu przeglądarki podczas udostępniania kolekcji.

Alternatywnym podejściem do uzyskiwania plików związanych z konkretnym podmiotem zagrożenia jest korzystanie z zasad wykrywania crowdsourcingu, takich jak Yara, Sigma i IDS. Deweloperzy zawsze poszukują wiarygodnych i aktywnych repozytoriów, które regularnie aktualizowane są o najnowsze sygnatury złośliwego oprogramowania. Na przykład, poniższe zapytanie dostarcza pliki zgodne z zasadami Yara i IDS, zawierającymi w nazwach "APT29" lub "CozyBear", oraz pliki wykryte przez określone reguły Sigma: crowdsourced_yara_rule:APT29 OR crowdsourced_ids:APT29 OR sigma_rule:976e44f1ea7fa22eaa455580b185aaa44b66676f51fe2219d84736dc8b997d3e OR crowdsourced_yara_rule:CozyBear OR crowdsourced_ids:CozyBear OR sigma_rule:34f4cff056f24abe91bb29dc04a37ee746a4255101a21724b9ff28d79785247a

W VirusTotal istnieje również wiele rozwiązań stron trzecich, które pozostawiają przydatne komentarze. Niektóre z najpopularniejszych i znanych z nich to skaner THOR APT i Intezer

Następujący zapytanie wyszukuje pliki zawierające w komentarzach pseudonimy niektórych podmiotów zagrożeń APT: entity:file ( comment:APT29 OR comment:CozyBear OR comment:NobleBaron OR comment:UNC2452 OR comment:YTTRIUM )

Podobnie działa to również dla adresów IP, domen i adresów URL: entity:domain comment:c2 comment:donot

Dokumenty

Możesz również określić format dokumentu, aby uzyskać odpowiednie wyniki. Na przykład, następujące zapytanie dostarcza niedawno utworzone (za pomocą modyfikatora "generated") dokumenty (za pomocą modyfikatora "type"), zawierające wbudowane makra (za pomocą "tag") i wykrywane przez co najmniej 5 antywirusów (za pomocą modyfikatora "p"): (type:doc OR type:docx) tag:macros p:5+ generated:30d+

W drugim przykładzie wyodrębniane są pliki Excel związane ze skryptami PowerShell i przesłane do VT w ciągu ostatnich 10 dni: (type:xls OR type:xlsx) tag:powershell fs:10d+

Za pomocą modyfikatora wyszukiwania "tag:" możesz wyszukiwać dokumenty z zaciemnionym kodem VBA, który wykonuje inne pliki: (type:doc OR type:docx) tag:exe-pattern tag:run-file tag:obfuscated

Użyj "type:document" do wyszukiwania wszystkich formatów dokumentów (office, PDF, tekstowych, RTF itp.). Poniższe zapytanie wyświetla wszystkie dokumenty zawierające frazę "faktura" w nazwie i używane jako załączniki w wiadomościach e-mail: type:document name:"invoice" tag:attachment

Alternatywnie, można znaleźć dokumenty, w których wykorzystywana jest dowolna podatność opublikowana w 2022 roku: type:document tag:cve-2022-*
Ważne jest zauważyć, że modyfikator "tag" obsługuje użycie znaków wieloznacznych. Słowo kluczowe "lang:" jest używane do wyszukiwania dokumentów odpowiadających dowolnemu językowi, korzystając z właściwości językowych Exif: type:docx lang:"farsi" p:5+

Dla systemów operacyjnych takich jak Android, macOS i Symbian istnieją specjalne słowa kluczowe, które umożliwiają dokładniejsze wyszukiwanie na tych platformach.

Na przykład, dla systemu operacyjnego Android, który jest jedną z najpopularniejszych platform po Windows, można użyć narzędzia Androguard. Za pomocą słowa kluczowego "androguard:" można wyszukiwać wyniki związane z przetwarzaniem próbek za pomocą Androguard. Na przykład, zapytanie androguard:"spyMobile/" pozwoli Ci znaleźć wszystkie próbki związane z frazą "spyMobile/".

Dodatkowo, możesz użyć słowa kluczowego "main_icon_dhash:" do wyszukiwania plików APK, które udają legalne aplikacje, używając tego samego ikon („main_icon_dhash”), ale z podpisem innego certyfikatu. Na przykład, zapytanie main_icon_dhash:9ef2e0c8e8f8bc8e type:apk AND NOT androguard:"45989dc9ad8728c2aa9a82fa55503e34a8879374" pomoże Ci znaleźć takie pliki APK.

Jeśli potrzebujesz bardziej precyzyjnego wyszukiwania plików APK z konkretnymi nazwami pakietów, możesz użyć słowa kluczowego "androguard_package:". Na przykład, zapytanie androguard_package:org.xmlpush.v3 pozwoli Ci znaleźć pliki APK z określoną nazwą pakietu. Dodatkowo, dostępne są inne specjalne słowa kluczowe dla różnych platform. Na przykład, zapytanie tag:iphone tag:signed p:5+ pomoże Ci znaleźć podpisane paczki aplikacji iOS, które zostały wykryte przez co najmniej 5 programów antywirusowych. 

Zapytanie (type:apple OR type:mac) itw:cdn.discordapp.com pomoże Ci znaleźć pliki iOS/macOS, które zostały pobrane z określonego adresu URL. Zapytanie type:symbian name:"spy" pomoże Ci znaleźć pliki Symbian (.sis), których nazwa zawiera podciąg "spy".

Korzystanie z specjalnych słów kluczowych i modyfikatorów umożliwia bardziej precyzyjne dostosowanie wyszukiwania w VirusTotal Intelligence do różnych platform i typów plików. Przyjrzyjmy się kilku przydatnym modyfikatorom wyszukiwania związanym z siecią, dla adresów URL, adresów IP i domen. Zamiast wymieniać pełną listę modyfikatorów w tym artykule, zalecam zapoznanie się z szczegółowymi informacjami, przechodząc pod ten link.

Modyfikatory sieciowe mogą być przydatne w różnych scenariuszach. Oto kilka praktycznych przykładów użycia:

1. Jeśli potrzebujesz znaleźć panele administracyjne botnetu w określonej domenie najwyższego poziomu (TLD) i masz pewne metadane HTML z odpowiedzi, możesz użyć następującego zapytania: entity:url tld:xyz meta:"admin panel".

2. Jeśli wyodrębniłeś punkt końcowy C2 (kontroli i zarządzania) z próbki złośliwego oprogramowania i chcesz znaleźć inne serwery korzystające z tej samej ścieżki wewnętrznej, możesz wykonać następujące zapytanie: entity:url path:get_config.php. Możesz również wyszukiwać określone treści ciała HTML za pomocą składni "NOT parent_domain:", aby wykluczyć legalne wyniki, na przykład: entity:url content:"Enter password" content:"Microsoft" fs:1d+ NOT parent_domain:office.com.

3. Istnieje wiele sposobów wykrywania złośliwych domen, które udają legalne, włączając analizę faviconów. Aby uzyskać konkretny identyfikator dhash, wystarczy kliknąć ikonę pliku lub strony internetowej w VirusTotal, a dostaniesz odpowiednie zapytanie. Następnie możesz sprawdzić, czy istnieją inne domeny korzystające z tego faviconu, które zostały wykryte przez różne antywirusy, na przykład: entity:domain main_icon_dhash:0e969e969306710f p:5+.

4. Aby wyszukać domeny podobne do podanej za pomocą odległości Levenshteina, możesz użyć słowa kluczowego "fuzzy_domain". Może to być przydatne przy wykrywaniu ataków wykorzystujących technikę podobieństwa typograficznego (typo squatting). Na przykład: entity:domain fuzzy_domain:"google.com" urls_max_detections:1+ NOT parent_domain:google.com.

W tym artykule omówiliśmy pełną listę modyfikatorów wyszukiwania związanych z siecią, dotyczących adresów URL, adresów IP i domen. Są one potężnym narzędziem do wykrywania i analizy danych sieciowych w różnych sytuacjach.

Modyfikatory wyszukiwania pozwalają zawęzić wyniki zapytań i uzyskać bardziej precyzyjne informacje o docelowych jednostkach. Omówiliśmy kilka praktycznych przykładów, ilustrujących zastosowanie modyfikatorów sieciowych w różnych scenariuszach. Na przykład omówiliśmy wykorzystanie modyfikatorów do wyszukiwania paneli administratora botnetów, badania szkodliwych domen, analizy ikon stron (favicon) w celu wykrywania powiązanych domen, a także do wyszukiwania podejrzanej aktywności w określonej podsieci lub w ramach określonego ASN.

Modyfikatory sieciowe otwierają szerokie możliwości w zakresie badania i analizy danych sieciowych. Pomagają wykryć potencjalnie złośliwe działania, powiązania między jednostkami i inne ważne informacje, które mogą być przydatne do zapewnienia bezpieczeństwa i prowadzenia badań w dziedzinie cyberbezpieczeństwa. Zapoznaj się z pełną listą modyfikatorów opisaną w dostarczonym linku, aby uzyskać bardziej szczegółowe informacje i opanować wszystkie możliwości, jakie oferują.

Bądź ostrożny i uważaj przy korzystaniu z modyfikatorów sieciowych w wyszukiwaniu, ponieważ niewłaściwe lub nieodpowiednie użycie może prowadzić do niepożądanych rezultatów lub naruszenia zasad i norm bezpieczeństwa. Mamy nadzieję, że ten artykuł pomógł Ci zrozumieć podstawy korzystania z modyfikatorów sieciowych w wyszukiwaniu i umożliwi Ci skuteczne badanie i analizę danych sieciowych w celu osiągnięcia swoich celów.