Virus Total

Программа ищет и анализирует как отдельные угрозы, так и служит «телескопом» для масштабных вредоносных действий в Интернете.

В наборе данных VirusTotal есть образцы вредоносных программ, URL-адреса, домены и IP-адреса в соответствии с вердиктами обнаружения антивируса, статичными функциями, шаблонами поведения. Образцы согласно критериям поиска можно скачать для дальнейшего изучения.

Индикаторы статических угроз

Чтобы отслеживать угрозу, собирайте сигналы. Инструменты VirusTotal получают подозрительные сигналы. К ним относятся потоки кода OLE VBA в макросах документов Office, недействительные таблицы перекрестных ссылок в PDF-файлах, предупреждение системы обнаружения вторжений, активируемых в PCAP, метаданные Exif и т.д. Используйте эти свойства как IoC для обнаружения проблем в сети.

Поиск по нескольким свойствам может выполняться с помощью расширенных модификаторов, а кампании субъектов угроз могут быть полностью сопоставлены с помощью сходства. Быстрый поиск двоичных n-грамм дополняет обнаружение совпадения файлов, чтобы найти другие неизвестные варианты атаки и другое вредоносное ПО, относящееся к тому же субъекту угрозы.

Поведенческая активность и взаимодействие в сети

Вы можете узнать, как файлы вредоносных программ взаимодействуют между собой. VirusTotal активирует файлы в виртуальных контролируемых средах для отслеживания их действий и соединений. Таким образом, создаются подробные отчеты, включая открытые, созданные и записанные файлы, компьютеры, набор ключей реестра, контактные домены, поиск URL-адресов и т.д.

Возможности динамического анализа сосредоточены не только на трассировках выполнения, но и на запуске подключаемых модулей статического и динамического анализа. Это происходит для декодирования конфигураций вредоносных программ RAT и извлечения сетевой инфраструктуры, которая могла не прослеживаться в реальном времени.

Доступ к данным об угрозах

Получите информацию об угрозах и методах, используемых для распространения вредоносного программного обеспечения. VirusTotal запускает серверные процессы, такие как песочница, создание взаимосвязей между файлами, извлечение вложений электронной почты, сопоставление URL с файлами и маркировка файлов, поступающих из приманок. Посторонние инструменты, такие как Microsoft Sysinternals, также предоставляют метаданные о реальных наблюдениях конечных пользователей за вредоносным ПО.

Взаимосвязи и модели

Воспользуйтесь преимуществами серверных процессов, чтобы понять взаимосвязи между файлами и сетью, обнаружить электронные письма, которые могут содержать эту угрозу. Также можете связать файлы из PCAP родительского сетевого трафика, обнаружить другие варианты, точно определить сжатые пакеты, содержащие эту угрозу.

Мощные инструменты поиска

Возможности кластеризации и поиска подобия

Поиск подобных файлов с помощью нескольких хешей/алгоритмов: поиск совпадения контента ssdeep, imphash (хэш импортов), визуальное сходство значков и специальный хэш структурных функций.

Поиск контента

Поиск с малой задержкой случайных двоичных шаблонов, содержащихся в файлах, не только поиск строк, но и любой тип двоичной последовательности, основанный на индексе n-грамм размером 5 петабайт.

Эластичный поиск

Более 40 модификаторов можно использовать для поиска интересующих образцов вредоносных программ на основе статических, динамических и реляционных свойств. Пример: тип: type:dmg AND подпись: "T8RS3R6DT4" AND metadata:"adharma" AND behaviour:"pkill -9 -i Flash Update 13.6 Установщик" AND (behaviour:"rp.wacadacaw.com" OR behaviour:"os. wacadacaw.com")

Комбинируйте любое количество модификаторов

Параметры поиска можно комбинировать, чтобы идентифицировать файлы, соответствующие сложным критериям, фильтровать шум, фокусироваться на угрозах, касающихся ваших расследований. Дополнительная информация, доступная для файлов, отвечающих вашим критериям поиска:

• метаданные отправления. Даты первого и последнего просмотра, количество представленных материалов, имена файлов для отправки, страны отправки, даты отправки, зашифрованный идентификатор отправителя, интерфейс отправки, количество отдельных отправителей и т.п.;
• статическая информация. Sigcheck, информация о упаковщике, структура PE, атрибуты Exif, структура ELF, содержимое пакета, поток кода OLE VBA Macro, подозрительные свойства PDF, встроенные значки файлов;
• динамическая информация. Характеристика поведения с помощью исполнения в песочнице для основных операционных систем: Windows, Android, OS X и Linux;
• полная информация о сканировании. Все отчеты по этому образцу, а не только последний снимок. Узнайте, как со временем эволюционируют средства обнаружения угроз, какова продолжительность существования вредоносных программ;
• метаданные телеметрии. Партнерские инструменты добавляют в набор данных расширенные метаданные ПК конечных пользователей, например ключи реестра Windows. В этих ключах выполняемый файл зарегистрирован для автоматического запуска при перезагрузке;
• БД Goodware и информация о белом списке. Индекс Goodware, голосование сообщества VirusTotal, объединение общедоступных баз данных Goodware, сведения о легальном ПО, внесенные в белый список, предоставленные ведущими партнерами и полученные из VirusTotal Monitor.