Virus Total

Програма шукає та аналізує як окремі загрози, так і служить «телескопом» для масштабних зловмисних дій в Інтернеті.

У наборі даних VirusTotal є зразки шкідливих програм, URL-адреси, домени та IP-адреси відповідно до вердиктів виявлення антивірусу, статичних функцій, шаблонів поведінки. Зразки згідно з критеріями пошуку можна завантажити для подальшого вивчення.

Індикатори статичних загроз

Щоб відстежувати загрозу, збирайте сигнали. Інструменти VirusTotal отримують підозрілі сигнали. До них відносяться потоки коду OLE VBA в макросах документів Office, недійсні таблиці перехресних посилань у PDF-файлах, попередження системи виявлення вторгнень, що активуються в PCAP, метадані Exif та ін. Використовуйте ці властивості як IoC, щоб виявляти проблеми у вашій мережі.

Пошук за декількома властивостями може виконуватися за допомогою розширених модифікаторів, а кампанії суб'єктів загроз можуть бути повністю зіставлені за допомогою подібності. Швидкий пошук двійкових n-грам доповнює виявлення збігу файлів, щоб знайти інші невідомі варіанти атаки та інше шкідливе ПЗ, яке відноситься до того ж суб'єкта загрози.

Поведінкова активність та взаємодія в мережі

Ви можете дізнатися, як файли шкідливих програм взаємодіють між собою. VirusTotal активізує файли у віртуальних контрольованих середовищах для відстеження їхніх дій та зв'язку. Таким чином, створюються докладні звіти, включаючи відкриті, створені та записані файли, м'ютекси, набір ключів реєстру, контактні домени, пошук URL-адрес тощо.

Можливості динамічного аналізу зосереджені не тільки на трасуваннях виконання, але і на запуску модулів статичного і динамічного аналізу, що підключаються. Це відбувається для декодування конфігурацій шкідливих програм RAT та вилучення мережної інфраструктури, яка могла не простежуватися під час виконання у реальному часі.

Доступ до даних про загрози

Отримайте інформацію про загрози та методи, що використовуються для поширення шкідливого програмного забезпечення. VirusTotal запускає серверні процеси, такі як пісочниця, створення взаємозв'язків між файлами, вилучення вкладень електронної пошти, зіставлення URL-адрес з файлами та маркування файлів, що надходять із приманок. Сторонні інструменти, такі як Microsoft Sysinternals, також надають метадані про реальні спостереження кінцевих користувачів за шкідливим ПЗ.

Взаємозв'язки та моделі

Скористайтеся перевагами серверних процесів, щоб зрозуміти взаємозв'язки між файлами та мережею, виявити електронні листи, які можуть містити цю загрозу. Також можете зв'язати файли з PCAP батьківського мережного трафіку, виявити інші варіанти, точно визначити стислі пакети, що містять цю загрозу.

Потужні інструменти пошуку

Можливості кластеризації та пошуку подібності

Пошук схожих файлів за допомогою кількох хешів/алгоритмів: пошук збігу контенту ssdeep, imphash (хеш імпортів), візуальна схожість значків і спеціальний хеш структурних функцій.

Пошук контенту

Пошук із малою затримкою випадкових двійкових шаблонів, які містяться у файлах, не лише пошук рядків, а й будь-який тип двійкової послідовності, заснований на індексі n-грам розміром 5 петабайт.

Еластичний пошук

Більше 40 модифікаторів можна використовувати для пошуку зразків шкідливих програм, що цікавлять, на основі статичних, динамічних і реляційних властивостей. Приклад: тип: type:dmg AND підпис: "T8RS3R6DT4" AND metadata:"adharma" AND behaviour:"pkill -9 -i Flash Update 13.6 Installer" AND (behaviour:"rp.wacadacaw.com" OR behaviour:"os. wacadacaw.com")

Комбінуйте будь-яку кількість модифікаторів

Параметри пошуку можна комбінувати, щоб ідентифікувати файли, що відповідають найскладнішим критеріям, фільтрувати шум, фокусуватися на загрозах, які стосуються ваших розслідувань. Додаткова інформація, доступна для файлів, які відповідають вашим критеріям пошуку:

• метадані відправлення. Дати першого та останнього перегляду, кількість представлених матеріалів, імена файлів для відправки, країни відправлення, дати відправлення, зашифрований ідентифікатор відправника, інтерфейс відправлення, кількість окремих відправників тощо;
• статична інформація. Sigcheck, інформація про пакувальника, структура PE, атрибути Exif, структура ELF, вміст пакету, потік коду OLE VBA Macro, підозрілі властивості PDF, вбудовані значки файлів;
• динамічна інформація. Характеристика поведінки за допомогою виконання у пісочниці для основних операційних систем: Windows, Android, OS X та Linux;
• повна інформація про сканування. Всі звіти за цим зразком, а не тільки останній знімок. Дізнайтеся, як з часом еволюціонують засоби виявлення загроз, якою є тривалість існування шкідливих програм;
• метадані телеметрії. Партнерські інструменти додають до набору даних розширені метадані ПК кінцевих користувачів, наприклад ключі реєстру Windows. У цих ключах файл, що виконується, зареєстрований для автоматичного запуску при перезавантаженні;
• БД Goodware та інформація про білий список. Індекс Goodware, голосування спільноти VirusTotal, об'єднання загальнодоступних баз даних Goodware, відомості про легальне ПЗ, внесені до білого списку, надані провідними партнерами та отримані з VirusTotal Monitor.