VirusTotal Intelligence занимается поиском определенных угроз и совершает наблюдение за глобальными зловредными действиями в Сети.
В основе VirusTotal есть шаблоны вредоносного ПО, URL-адреса, доменные имена, IP, согласно выводам выявления антивируса, статическим функционалом, поведенческими образцами. Шаблоны в соответствии с параметрами поиска загружаются для последующего исследования.
Показатели постоянных угроз
Для мониторинга угроз можно собирать сигналы. Программа позволяет извлекать сомнительные оповещения. Это и код OLE VBA из макросов документов Office, и неактуальные таблицы совместных ссылок в файлах PDF, и уведомления системы выявления атак, которые запускаются в PCAP. Их вы сможете использовать как инверсию управления для обнаружения багов в сети.
Искать угрозы с применением нескольких свойств можно благодаря подробным модификаторам. А работа элементов угроз соизмерима посредством поиска по соответствию.
С помощью быстрого поиска бинарных n-грамм дополняется обнаружение по признаку совпадения файлов для выявления неизвестного вредоносного ПО, относящегося к одному элементу угрозы.
Поведение вредоносных программ и проявление их в Сети
Узнайте, каким образом вредоносные файлы действуют, и какие особенности их проявления. VirusTotal воздействует на файлы, которые находятся в виртуальных пространствах для мониторинга поведения, взаимосвязи.
В результате, появляются детальные отчеты, в том числе публичные, сформированные, записанные файлы, комплект ключей реестра, мьютексы, контакты, URL-адреса.
Динамический анализ не ограничивается трассировкой действия, но также происходит запуск модулей статической и динамической оценки. Таким образом, расшифровывается конфигурация вредоносного ПО RAT, извлекается сетевой механизм, который мог не просматриваться при выполнении в режиме real time.
Доступ к информации об угрозах
Программа предусматривает получение данных о локации угроз, средств, применяемых для передачи вредоносного ПО.
VirusTotal активизирует песочницу, взаимосвязи между файлами, «вытягивает» вложения электронной почты, сравнивает URL-адреса и файлы, маркирует файлы, которые доставляются с приманок. Сторонний ресурс Microsoft Sysinternals обеспечивает доступ к метаданным о мониторинге за вредоносными программами со стороны конечных пользователей.
Соотношения и схемы
Для понимания соотношения «файлы-сеть», поиска электронных писем с наличием угроз воспользуйтесь достоинствами серверных операций.
Связывайте файлы с форматом PCAP, родительским трафиком, выявляйте другие вариации, определяйте сжатые программы с содержанием этой угрозы.
Продвинутые инструменты для поиска
Кластеризация и определение соответствия
Происходит поиск аналогичных файлов с применением ряда хэшей/способов: ищутся идентичности данных ssdeep, imphash, наглядное соответствие значков, хэш структурного функционала.
Поиск данных
Процесс поиска с минимальным замедлением случайного набора двоичных образцов, которые содержатся в файлах, не только по строкам, но по любому типу двоичной цепочки, базирующийся на показателе n-грамм с параметрами 5 ПБ.
Гибкий поиск
Применяйте больше 40 модификаторов для поиска нужных шаблонов вредоносного ПО на базе постоянных, динамических, связывающих особенностей. Например, type: dmg AND signature: "T8RS3R6DT4" AND metadata:"adharma" AND behaviour:"pkill -9 -i Flash Update 13.6 Installer" AND (behaviour:"rp.wacadacaw.com" OR behaviour:"os.wacadacaw.com")
Совмещение любого количества модификаторов
Параметры поиска подлежат комбинации для идентификации файлов, которые соответствуют сложным критериям. Также можно изменять шум, акцентироваться на угрозах, связанных с вашими расследованиями.
Дополнительные данные, доступные для файлов, согласованных с параметрами поиска:
- отправка метаинформации. Пометки о дате просмотров, число материалов, отправка доменных файлов, страна, дата отправления, закодированный ID отправителя;
- статические данные. Sigcheck, данные про упаковщика, система PE, характеристики Exif, организация ELF, наполнение пакета, код OLE VBA Macro, сомнительные признаки PDF, закрепленные пометки файлов;
- динамические данные. Описание поведенческих реакций через действия в песочнице для ключевых ОС: Windows, Linux, Android, OS X;
- углубленные данные о сканировании. Отчетность по всему заданному шаблону. В программе можно узнать, как развиваются инструменты выявления угроз, сколько времени существуют вредоносные программы;
- телеметрия и метаданные. С помощью партнерских инструментов добавляются подробные метаданные из компьютеров пользователей, такие как ключи реестра Windows. В них исполняемый файл зафиксирован для автоматического старта во время перезагрузки;
- база данных Goodware и данные о белом списке. Показатель Goodware, голосование комьюнити VirusTotal, комбинация общедоступных БД Goodware, данные о легальных программах, которые внесены в белый список, полученные из VirusTotal Monitor.
- Максимальный размер загружаемого файла ограничен 650 МБ.