VirusTotal Intelligence

Wskaźniki trwałych zagrożeń

Można zbierać alerty w celu monitorowania zagrożeń. Oprogramowanie pozwala na odzyskanie wątpliwych wpisów. Są to m.in. kod OLE VBA z makr dokumentów Office, nieistotne współdzielone tabele referencyjne w plikach PDF oraz alerty systemu wykrywania ataków uruchamiane przez PCAP. Możesz ich użyć jako inwersji kontrolnej, aby wykryć błędy w sieci.

Możesz wyszukiwać zagrożenia o wielu właściwościach dzięki szczegółowym modyfikatorom. A działanie elementów zagrożenia jest porównywalne dzięki dopasowanym wyszukiwaniom.

Szybkie wyszukiwanie binarne n-gramów jest uzupełnione przez wykrywanie dopasowania plików w celu identyfikacji nieznanego złośliwego oprogramowania związanego z pojedynczym elementem zagrożenia.

Zachowanie i przejawy złośliwego oprogramowania w sieci

Dowiedz się, jak zachowują się złośliwe pliki i jaka jest specyfika ich manifestacji. VirusTotal wpływa na pliki, które rezydują w wirtualnych przestrzeniach w celu monitorowania zachowania, wzajemnych powiązań.

Efektem są szczegółowe raporty zawierające pliki publiczne, wygenerowane, zarejestrowane, zestaw kluczy rejestru, muteksów, kontaktów, adresów URL.

Analiza dynamiczna nie ogranicza się do śledzenia akcji, ale uruchamia również moduły oceny statycznej i dynamicznej. To odszyfrowuje konfigurację złośliwego oprogramowania RAT i wydobywa mechanizm sieciowy, który mógł nie być widoczny podczas wykonywania w czasie rzeczywistym.

Dostęp do informacji o zagrożeniach

Program dostarcza danych na temat lokalizacji zagrożeń, środków wykorzystywanych do przesyłania złośliwego oprogramowania.

VirusTotal aktywuje sandboxing, łączy między plikami, "wyciąga" załączniki e-mail, porównuje adresy URL i pliki, a także etykietuje pliki dostarczane z wabików. Zewnętrzny zasób Microsoft Sysinternals zapewnia dostęp do metadanych monitorowania złośliwego oprogramowania przez użytkownika końcowego.

Relacji i schematy

Wykorzystaj operacje na serwerze do zrozumienia relacji plik-sieć, wyszukując e-maile z obecnością zagrożeń.

Powiązanie plików z formatem PCAP, ruch rodzicielski, identyfikacja innych odmian oraz identyfikacja skompresowanych programów z zawartością tego zagrożenia.

Zaawansowane narzędzia do wyszukiwania

Klasterowanie i dopasowywanie

Podobne pliki są wyszukiwane przy użyciu kilku haszy/metod: ssdeep data identity, imphash, visual icon matching, structural functionality hash.

Wyszukiwanie danych

Proces przeszukiwania z minimalnym opóźnieniem losowego zbioru próbek binarnych zawartych w plikach, nie tylko wierszami, ale dowolnym typem łańcucha binarnego, oparty na wskaźniku n-gramowym o 5 parametrach PB.

Elastyczne wyszukiwanie

Zastosuj ponad 40 modyfikatorów, aby znaleźć odpowiednie wzorce złośliwego oprogramowania na podstawie cech trwałych, dynamicznych, łączących. Na przykład, typ: dmg AND signature: "T8RS3R6DT4" AND metadata: "adharma" AND behaviour: "pkill -9 -i Flash Update 13.6 Installer" AND (behaviour: "rp.wacadacaw.com" OR behaviour: "os.wacadacaw.com")

Połączenie dowolnej liczby modyfikatorów

Opcje wyszukiwania podlegają kombinacji w celu identyfikacji plików spełniających złożone kryteria. Możliwe jest również zmodyfikowanie szumu, skupiając się na zagrożeniach związanych z Twoimi dochodzeniami.

Dodatkowe dane dostępne dla plików pasujących do parametrów wyszukiwania:

• wysyłanie meta-informacji. Tagi data trafień, liczba pozycji, pliki domeny wysyłkowej, kraj, data wysłania, zakodowany identyfikator nadawcy;

• dane statyczne. Sigcheck, dane packera, system PE, statystyki Exif, organizacja ELF, zawartość partii, kod OLE VBA Macro, wątpliwe atrybuty PDF, stałe znaki plików;

• dane dynamiczne. Opis reakcji behawioralnych poprzez działania w piaskownicy dla kluczowych systemów operacyjnych: Windows, Linux, Android, OS X;

• Dane ze skanowania pogłębionego. Raportowanie na całym schemacie zestawu. Oprogramowanie pozwala zobaczyć, jak ewoluują narzędzia do wykrywania zagrożeń i jak długo złośliwe oprogramowanie jest obecne;

• Telemetria i metadane. Narzędzia partnerskie dodają szczegółowe metadane z komputerów użytkowników, takie jak klucze rejestru Windows. W nich plik wykonywalny jest ustalony tak, aby uruchamiał się automatycznie w czasie restartu komputera;

• Baza danych Goodware i dane z białej listy. Wskaźnik Goodware, głosowanie społeczności VirusTotal, połączenie publicznie dostępnych baz danych Goodware oraz danych whitelistingowych z VirusTotal Monitor.