Join us now to get access to all our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, and so, so much more. It's also quick and totally free, so what are you waiting for?
Necə işləyir?
VirusTotal veb interfeysi, brauzer genişləndirmələri və ya öz API-ləri vasitəsilə platformaya faylları təqdim etməyin müxtəlif yollarını təklif edir. Burada maraqlı olan odur ki, biz API-dən istifadə edərək VirusTotal-a təqdimatları avtomatlaşdıra və şübhəli və ya potensial zərərli faylla qarşılaşdıqda xidməti SOC-a inteqrasiya edə bilərik.
VirusTotal geniş çeşiddə antivirus skanerlərindən və URL/domen qara siyahı xidmətlərindən istifadə edir. Bundan əlavə, faylın davranışı haqqında qiymətli məlumat əldə etmək üçün sandbox mühiti kimi xidmət edən xüsusi vasitələrdən istifadə olunur.
Yuxarıdakı ekran görüntüsündə msfvenom istifadə edərək yaratdığım nümunə icra sənədini görə bilərsiniz. Fayl 71 müxtəlif antivirus aşkarlama proqramına qarşı işlədilib və biz onlardan 51-nin faylı zərərli kimi işarələdiyini görə bilərik. Aydın olması üçün, zərərli proqramın çox az çaşqınlığı var, VirusTotal-ın nə etdiyinə nümunə kimi xidmət etmək üçün yaradılmışdır. Faylın məqsədi işlədiyi maşınla Metasploit ilə işləyən başqa bir maşın arasında əlaqə yaratmaqdır. Bu edildikdə, kod parçası endiriləcək və iki maşın arasında sayğac bağlantısı qurulacaq.
VirusTotal antivirus detektorları ilə yanaşı, həm də sandbox mühitində yüklənmiş elementi təhlil edir. Maraqlıdır ki, sandbox nəticələri MITER ATT&CK (mən və həmkarım Paloma əvvəllər burada, burada və burada yazmışdıq) və Sigma Ruleset kimi onlayn resurslarla müqayisə edilir. Bu olduqca maraqlıdır, çünki APT-nin kompromis göstəricilərinin bu pulsuz anbarları çox hörmətlidir və düzgün tətbiq edildikdə çox güclüdür.
Biz həmişə şübhəli faylları VirusTotal-a yükləməliyik?
Burada cavab o qədər də aydın deyil. VirusTotal şübhəli faylların təhlili üçün tez və asan bir həll təklif edir, lakin tez-tez diqqətdən kənarda qalan bir şey var - onun son istifadəçilər üçün sərbəst olması o deməkdir ki, zərərli aktyorlar da alət tərəfindən yaradılan hesabatlara daxil ola bilər. Yeni hücumlar halında, təcavüzkarlar alətlərinin nümunələrinin VirusTotal-a yüklənib-yüklənilmədiyini müşahidə etməklə onların aşkar edilmiş ola biləcəyini bildirə bilərlər. Bu, onlara əməliyyatlarının vəziyyəti və müdafiəçilərin cari fəaliyyəti haqqında mühüm məlumatlar verir. Həmçinin, ümumiyyətlə VirusTotal-a avtomatik təqdimatlar etmək və bunun əvəzinə bu cür onlayn vasitələrə müraciət etməzdən əvvəl şübhəli faylın təftiş təhlilini aparmaq tövsiyə edilmir. Düşmənlərə məlumat sızdırmaq kimi mənfi cəhətlər olmadan eyni təfərrüatlı təhlili təklif edən oxşar analitik platformalar (məsələn, gələcək bloqda daha çox danışacağımız Cuckoo Sandbox) var.
Nəticə
VirusTotal çox maraqlı, güclü və istifadəsi asan bir vasitədir, böyük üstünlüklər təklif edir, lakin vəziyyətinizdən asılı olaraq həmişə ilk seçim olmamalıdır.
Necə işləyir?
VirusTotal veb interfeysi, brauzer genişləndirmələri və ya öz API-ləri vasitəsilə platformaya faylları təqdim etməyin müxtəlif yollarını təklif edir. Burada maraqlı olan odur ki, biz API-dən istifadə edərək VirusTotal-a təqdimatları avtomatlaşdıra və şübhəli və ya potensial zərərli faylla qarşılaşdıqda xidməti SOC-a inteqrasiya edə bilərik.
VirusTotal geniş çeşiddə antivirus skanerlərindən və URL/domen qara siyahı xidmətlərindən istifadə edir. Bundan əlavə, faylın davranışı haqqında qiymətli məlumat əldə etmək üçün sandbox mühiti kimi xidmət edən xüsusi vasitələrdən istifadə olunur.
Yuxarıdakı ekran görüntüsündə msfvenom istifadə edərək yaratdığım nümunə icra sənədini görə bilərsiniz. Fayl 71 müxtəlif antivirus aşkarlama proqramına qarşı işlədilib və biz onlardan 51-nin faylı zərərli kimi işarələdiyini görə bilərik. Aydın olması üçün, zərərli proqramın çox az çaşqınlığı var, VirusTotal-ın nə etdiyinə nümunə kimi xidmət etmək üçün yaradılmışdır. Faylın məqsədi işlədiyi maşınla Metasploit ilə işləyən başqa bir maşın arasında əlaqə yaratmaqdır. Bu edildikdə, kod parçası endiriləcək və iki maşın arasında sayğac bağlantısı qurulacaq.
VirusTotal antivirus detektorları ilə yanaşı, həm də sandbox mühitində yüklənmiş elementi təhlil edir. Maraqlıdır ki, sandbox nəticələri MITER ATT&CK (mən və həmkarım Paloma əvvəllər burada, burada və burada yazmışdıq) və Sigma Ruleset kimi onlayn resurslarla müqayisə edilir. Bu olduqca maraqlıdır, çünki APT-nin kompromis göstəricilərinin bu pulsuz anbarları çox hörmətlidir və düzgün tətbiq edildikdə çox güclüdür.
Biz həmişə şübhəli faylları VirusTotal-a yükləməliyik?
Burada cavab o qədər də aydın deyil. VirusTotal şübhəli faylların təhlili üçün tez və asan bir həll təklif edir, lakin tez-tez diqqətdən kənarda qalan bir şey var - onun son istifadəçilər üçün sərbəst olması o deməkdir ki, zərərli aktyorlar da alət tərəfindən yaradılan hesabatlara daxil ola bilər. Yeni hücumlar halında, təcavüzkarlar alətlərinin nümunələrinin VirusTotal-a yüklənib-yüklənilmədiyini müşahidə etməklə onların aşkar edilmiş ola biləcəyini bildirə bilərlər. Bu, onlara əməliyyatlarının vəziyyəti və müdafiəçilərin cari fəaliyyəti haqqında mühüm məlumatlar verir. Həmçinin, ümumiyyətlə VirusTotal-a avtomatik təqdimatlar etmək və bunun əvəzinə bu cür onlayn vasitələrə müraciət etməzdən əvvəl şübhəli faylın təftiş təhlilini aparmaq tövsiyə edilmir. Düşmənlərə məlumat sızdırmaq kimi mənfi cəhətlər olmadan eyni təfərrüatlı təhlili təklif edən oxşar analitik platformalar (məsələn, gələcək bloqda daha çox danışacağımız Cuckoo Sandbox) var.
Nəticə
VirusTotal çox maraqlı, güclü və istifadəsi asan bir vasitədir, böyük üstünlüklər təklif edir, lakin vəziyyətinizdən asılı olaraq həmişə ilk seçim olmamalıdır.