VirusTotal Intelligence
VirusTotal Intelligence to oprogramowanie posiadające funkcję dogłębnego wyszukiwania, badające zagrożenia. Analitycy wyszukują i blokują ataki złośliwego oprogramowania, zanim szkody zostaną wyrządzone.
VirusTotal Intelligence wyszukuje konkretne zagrożenia i monitoruje globalną złośliwą aktywność w sieci.
VirusTotal opiera się na wzorcach złośliwego oprogramowania, adresach URL, nazwach domen, IP, zgodnie z ustaleniami wykrywania antywirusów, statycznej funkcjonalności, wzorców zachowań. Szablony zgodne z parametrami wyszukiwania są pobierane do dalszego badania.
Brak komentarzy w tej chwili.
Wskaźniki trwałych zagrożeń
Można zbierać alerty w celu monitorowania zagrożeń. Oprogramowanie pozwala na odzyskanie wątpliwych wpisów. Są to m.in. kod OLE VBA z makr dokumentów Office, nieistotne współdzielone tabele referencyjne w plikach PDF oraz alerty systemu wykrywania ataków uruchamiane przez PCAP. Możesz ich użyć jako inwersji kontrolnej, aby wykryć błędy w sieci.
Możesz wyszukiwać zagrożenia o wielu właściwościach dzięki szczegółowym modyfikatorom. A działanie elementów zagrożenia jest porównywalne dzięki dopasowanym wyszukiwaniom.
Szybkie wyszukiwanie binarne n-gramów jest uzupełnione przez wykrywanie dopasowania plików w celu identyfikacji nieznanego złośliwego oprogramowania związanego z pojedynczym elementem zagrożenia.
Zachowanie i przejawy złośliwego oprogramowania w sieci
Dowiedz się, jak zachowują się złośliwe pliki i jaka jest specyfika ich manifestacji. VirusTotal wpływa na pliki, które rezydują w wirtualnych przestrzeniach w celu monitorowania zachowania, wzajemnych powiązań.
Efektem są szczegółowe raporty zawierające pliki publiczne, wygenerowane, zarejestrowane, zestaw kluczy rejestru, muteksów, kontaktów, adresów URL.
Analiza dynamiczna nie ogranicza się do śledzenia akcji, ale uruchamia również moduły oceny statycznej i dynamicznej. To odszyfrowuje konfigurację złośliwego oprogramowania RAT i wydobywa mechanizm sieciowy, który mógł nie być widoczny podczas wykonywania w czasie rzeczywistym.
Dostęp do informacji o zagrożeniach
Program dostarcza danych na temat lokalizacji zagrożeń, środków wykorzystywanych do przesyłania złośliwego oprogramowania.
VirusTotal aktywuje sandboxing, łączy między plikami, "wyciąga" załączniki e-mail, porównuje adresy URL i pliki, a także etykietuje pliki dostarczane z wabików. Zewnętrzny zasób Microsoft Sysinternals zapewnia dostęp do metadanych monitorowania złośliwego oprogramowania przez użytkownika końcowego.
Relacji i schematy
Wykorzystaj operacje na serwerze do zrozumienia relacji plik-sieć, wyszukując e-maile z obecnością zagrożeń.
Powiązanie plików z formatem PCAP, ruch rodzicielski, identyfikacja innych odmian oraz identyfikacja skompresowanych programów z zawartością tego zagrożenia.
Zaawansowane narzędzia do wyszukiwania
Klasterowanie i dopasowywanie
Podobne pliki są wyszukiwane przy użyciu kilku haszy/metod: ssdeep data identity, imphash, visual icon matching, structural functionality hash.
Wyszukiwanie danych
Proces przeszukiwania z minimalnym opóźnieniem losowego zbioru próbek binarnych zawartych w plikach, nie tylko wierszami, ale dowolnym typem łańcucha binarnego, oparty na wskaźniku n-gramowym o 5 parametrach PB.
Elastyczne wyszukiwanie
Zastosuj ponad 40 modyfikatorów, aby znaleźć odpowiednie wzorce złośliwego oprogramowania na podstawie cech trwałych, dynamicznych, łączących. Na przykład, typ: dmg AND signature: "T8RS3R6DT4" AND metadata: "adharma" AND behaviour: "pkill -9 -i Flash Update 13.6 Installer" AND (behaviour: "rp.wacadacaw.com" OR behaviour: "os.wacadacaw.com")
Połączenie dowolnej liczby modyfikatorów
Opcje wyszukiwania podlegają kombinacji w celu identyfikacji plików spełniających złożone kryteria. Możliwe jest również zmodyfikowanie szumu, skupiając się na zagrożeniach związanych z Twoimi dochodzeniami.
Dodatkowe dane dostępne dla plików pasujących do parametrów wyszukiwania:
-
wysyłanie meta-informacji. Tagi data trafień, liczba pozycji, pliki domeny wysyłkowej, kraj, data wysłania, zakodowany identyfikator nadawcy;
-
dane statyczne. Sigcheck, dane packera, system PE, statystyki Exif, organizacja ELF, zawartość partii, kod OLE VBA Macro, wątpliwe atrybuty PDF, stałe znaki plików;
-
dane dynamiczne. Opis reakcji behawioralnych poprzez działania w piaskownicy dla kluczowych systemów operacyjnych: Windows, Linux, Android, OS X;
-
Dane ze skanowania pogłębionego. Raportowanie na całym schemacie zestawu. Oprogramowanie pozwala zobaczyć, jak ewoluują narzędzia do wykrywania zagrożeń i jak długo złośliwe oprogramowanie jest obecne;
-
Telemetria i metadane. Narzędzia partnerskie dodają szczegółowe metadane z komputerów użytkowników, takie jak klucze rejestru Windows. W nich plik wykonywalny jest ustalony tak, aby uruchamiał się automatycznie w czasie restartu komputera;
-
Baza danych Goodware i dane z białej listy. Wskaźnik Goodware, głosowanie społeczności VirusTotal, połączenie publicznie dostępnych baz danych Goodware oraz danych whitelistingowych z VirusTotal Monitor.