Gyanús fájlok, linkek és domainek beolvasása a VirusTotal segítségével

Ha vezetsz descargas, mellékleteket vagy linkeket naponta, előbb-utóbb valami gyanút keltő dologgal találkozik; abban a pillanatban, A VirusTotal a legjobb szövetségeseddé válik hogy megalapozott döntést hozzon, és ellenőrizze, hogy a letöltött fájl biztonságos-e mielőtt bármit is végrehajtana. Javaslata egyszerű, de rendkívül hatékony: egy elemet több tucat biztonsági motorral és hírszerzési forrással kell összehasonlítani, hogy megbecsülje annak értékét. megbízhatóság.

Ennek ellenére tanácsos tisztázni a játékszabályokat: Nem valós idejű víruskereső, nem fertőtlenít és dobhat is hamis pozitív vagy éppen ellenkezőleg, nem észlelik malware Úgy tervezték, hogy megkerülje a vezérlőket. Ennek az útmutatónak a célja, hogy segítsen a legtöbbet kihozni a VirusTotalból – fájlokból, URL-ekből és domainekből –, valamint hogy segítsen az eredmények értelmezésében, hogy megalapozott döntéseket hozhasson.

Mi a VirusTotal és mit lehet vele elemezni?

A VirusTotal spanyol projektként született, és mára a Google Cloud része; küldetése a biztonsági kutatások gazdagítása a következőkkel: kontextus és fenyegetés hírneveBöngészőből működik (bármely operációs rendszeren), és van hozzá egy alkalmazás is. Android, így további szoftver telepítése nélkül is használhatja a számítógépére.

Fő előnye az az elemzőmotorok sokféleségeÁltalában több mint 70 víruskereső és reputációnövelő szolgáltatással működik együtt, és a modultól és az időponttól függően több mint 90 motorra, vagy akár több mint 100 eszközre is találhatunk hivatkozásokat, beleértve a sandboxokat és a közösségi észlelési szabályokat. Ez a „többmotoros” megközelítés magasabbra teszi a lécet az egyetlen termékkel történő szkenneléshez képest.

A gyakorlatban háromféle tárgyat küldhetsz: Fájlok (File), URL-ek és hálózati erőforrások (domain/IP)Minden beküldéssel a platform egy jelentést generál, amely tartalmazza azokat a szállítókat, akik rosszindulatúként jelölték meg az elemet, a technikai metaadatokkal, a más IOC-kkel való kapcsolatokkal és a közösségi visszajelzésekkel együtt.

Egy másik megkülönböztető jellemzője a elemzők és felhasználók közössége, amely megjegyzéseket és megállapításokat ad hozzá; a több forrásból származó telemetriával együtt ez kontextuális jeleket szolgáltat a kampányokról, a kapcsolódó infrastruktúráról és a fenyegetés lehetséges eredetéről.

Előnyök, korlátok és óvintézkedések

Az előnyök közé tartozik a használata több tucat egyidejű biztonsági motor, ami csökkenti annak kockázatát, hogy kihagyjuk azokat a kártevőcsaládokat, amelyeket egyetlen víruskereső sem észlelne. Ezenkívül, adatbázisok Nagyon gyakran frissülnek, így az eredmények általában nagyon naprakészek.

Ez egy gyors és ingyenes szolgáltatás is, amely bármilyen böngészőből és platformról elérhető, lehetővé téve Válaszok beszerzése eszközök telepítése nélkülEhhez jön még a jelentések gazdagsága: megfigyelt viselkedés, hálózati kapcsolatok, aláírások, fájl metaadatok és közösségi pontszám.

A skála másik oldalán: VirusTotal nem véd valós időbenNem figyeli a rendszert, és nem blokkolja a folyamatokat. Ez egy proaktív és időszerű keresés. Téves pozitív (az egyik motor riaszt, a többi nem) és téves negatív eredmények is előfordulhatnak, ha a rosszindulatú program úgy van kialakítva, hogy megkerülje az automatikus keresést.

Ezenkívül figyelembe kell vennie a metaadatok elérhetősége és ismeri a fájl típusaÁltalános szabály, hogy a beküldések hozzájárulnak a kutatási ökoszisztémához. Vállalati környezetekben a Google Workspace integrációja minimalizálja ezt azáltal, hogy csak akkor oszt meg hasheket, amikor az adminisztrátor úgy dönt, hogy megtekinti a jelentést, de fontos megérteni, hogy mi kerül megosztásra az egyes adatfolyamokban.

Ezeket a premisszákat szem előtt tartva, a kulcs abban rejlik, hogy körültekintően értelmezze a jelentést és kombinálja azt más biztonsági rétegekkel (helyi vírusvédelem, EDR, IDS/IPS és megerősítési szabályzatok) a megalapozott döntések meghozatalához.

Fájl elemzése a „Fájl” fül segítségével

A kezdéshez lépjen a Fájl fülre, válassza ki a fájlt a számítógépéről, és nyomja meg a kék gombot. „Feltöltés megerősítése” a feltöltéshezFeltölthetsz bináris fájlokat, irodai dokumentumok, tömörítések, többek között. A szolgáltatás a mintát több víruskereső motor és más reputációs forrás számára is elérhetővé teszi.

Befejezés után egy fejléc jelenik meg a következővel: motorok száma jelölések észleléseHa egy szolgáltató észleli, a részleteket az „Észlelés” lapon tekintheti meg, amely felsorolja az egyes motorok által jelentett családneveket vagy heurisztikákat.

A „Részletek” részben a metaadatokat találja: fájltípus, hash-ek (MD5, SHA-1, SHA-256), méret, dátumok (fordítás, módosítás) és egyéb, triázs-barát információk. A „Kapcsolatok” fül más elemekhez (letöltők, C2 szerverek, kapcsolódó URL-ek, testvérfájlok) való kapcsolatokat képez le. Végül a „Közösség” összesíti a többi felhasználó hozzászólásait.

A legismertebb használható motorok közé tartoznak az iparági klasszikusok. Például számos jelentés tartalmaz olyan neveket, mint Avira, Kaspersky, Microsoft, ESET, Bitdefender és még sok más. Íme egy reprezentatív lista a gyakori fájlkereső motorokról:

• Ad-Aware
• AhnLab-V3
• Avast-Mobile
• Avira
• bit Defender
• Eset-NOD32
• F-Secure
• Fortinet
• Kaspersky
• Malware bájtok
• McAfee
• microsoft
• pandamackó
• Sophos AV
• Symantec
• Bizalom pillantás
• TrendMicro
• GData
• Comodo
• AVG
• avast

amikor egyedül egy vagy két motor piros és a többi tiszta, akkor az álpozitív lehet. Ha több motor is egyetért, és konkrét családokat nevez meg, a gyanú súlyt vesz fel. Gyakorlati szabályként ne futtasson semmit, ha vannak észlelések, még ha kevés is van belőlük, és hasonlítsa össze a sajátjával. helyi víruskereső vagy végezzen biztonságos sandbox elemzést.

URL-ek elemzése beírás előtt

Az URL fül lehetővé teszi, hogy beillesszen egy linket, és egynél több helyre elküldje 70 reputációs motor és listaEz különösen hasznos online vásárlások, vállalati bejelentkezések vagy rövidített linkeket tartalmazó kampányok védelmére.

A jelentésben láthatja, hogy hány keresőmotor tartja a címet rosszindulatúnak; ha csak néhányuk riaszt, a többi pedig nem, akkor a következővel kell szembenéznünk: lehetséges álpozitívAz „Észlelés” fül összefoglalja az eredmények eloszlását, a „Részletek” pedig metaadatokat tartalmaz a szerverről, a technológiáról, a megfigyelt nyomkövetőkről és a metacímkékről.

Ha vannak hozzászólások a „Közösség” részben, olvasd el őket: néha más felhasználók is hozzájárulnak a közelmúltbeli események kontextusa vagy ártalmatlanságot kell megerősíteni. Ezt kiegészítő jelzésként kell használni, ne az egyetlen kritériumként.

Keresés: domainek, IP-címek és további kontextus

A Keresés modul lehetővé teszi URL, domain vagy IP-cím megadását a reputáció kontextusának lekéréséhez; egy domain elemzése után a fejléc például a következőket jelezheti: az adott domainhez tartozó URL-ek száma látható a VirusTotal adathalmazban.

Olyan jeleket fogsz találni, mint a népszerűségi rangsor a Cisco Umbrella-n, a legutóbb használt DNS-kiszolgálókat, a legfrissebb HTTPS-tanúsítványt (kibocsátóval, ujjlenyomattal és érvényességgel), valamint a domainregisztrációs információkat (WHOIS). Még azt is láthatja, hogy mi van indexelve a Google-ban az adott domainhez.

Ezek az adatok aranyat érnek a lehetséges kapcsolatok vizsgálatához: egy hash-ről a letöltési tartományára vált, megtekintheti a megosztott tanúsítványokat, vagy blokkolhatja a csapata által korán észlelt kampányhoz kapcsolódó domaineket.

A fülek értelmezése és az eredmények jelentése

• A „detektálás” a motorok látását egyesíti. Nem mindegyikük ér el egyformán pontot: némelyikük általában... agresszívabb heurisztikákkal, mások konzervatívabbak. A több szolgáltató közötti következetesség és az ismerős családnevek megjelenése növeli a bizalmat.
• A „Részletek” a technikai lapod: hashek, méret, MIME típus, dátumok, digitális aláírás, jogosultságok (Androidon), makrók a dokumentumokban stb. Ez a nézet a következőket tartalmazza: azonosítók megosztása más elemzőkkel és összefüggések keresése a SIEM/EDR-ben.
• A „Kapcsolatok” részben látható a gráf: mely URL-címeken található a fájl, mely IP-címekkel van kapcsolatban, milyen más fájlokat töltött le, vagy milyen fájlokat töltött le általa. Ez a kiindulópontja a következőknek: elvágja a kapcsolódó infrastruktúrát (kerületi blokkok, tiltólisták, kampánykövetés).
• A „közösség” összesíti a szavazatokat és a hozzászólásokat; nem helyettesíti a technikai ítélőképességet, de hozzájárul első kézből származó jelek más csapatoktól, amelyek ugyanezt látták a pályán.

A VirusTotal jelentései integrálva vannak a Google Workspace-be

A Google Workspace-t használó szervezetekben a Biztonsági központ vizsgálóeszköze lehetővé teszi a következők megnyitását: VirusTotal jelentések a Gmailhez és a Chrome-hoz kapcsolódóan hogy gazdagítsa a kutatást anélkül, hogy elhagyná a környezetet.

Fontos megjegyzések erről a vállalati integrációról, amelyeket érdemes szem előtt tartani a garanciákkal való működéshez: „Biztonsági központ > VirusTotal > Jelentés megtekintése” jogosultság szükségesA VirusTotal itt nem „észlelésre”, hanem kontextus és hírnév hozzáadására szolgál; az adatokat (hash-eket) csak akkor osztja meg a VirusTotal a rendszergazda, amikor a „VirusTotal jelentés megtekintése” gombra kattint.

• A VirusTotal adatai a biztonsági közösség megosztott ökoszisztémájának részét képezik.
• Ezek a jelentések a Riasztási központból is megnyithatók.

Hogyan tekintheti meg a kapcsolódó jelentéseket Gmail az adminisztrációs konzolból:

1. Jelentkezzen be az admin.google.com oldalra rendszergazdai fiókkal.
2. Forrásként válassza a „Gmail üzenetek” vagy a „Gmail naplóesemények” lehetőséget.
3. Adja hozzá a „Melléklet van” feltételt.
4. Futtassa a keresést, és nyissa meg az eredményt üzenetazonosító vagy tárgy alapján.
5. Az oldalsó panelen, az „Üzenet” vagy a „Beszélgetés” lapon kattintson a „VirusTotal jelentés megtekintése” elemre.

hogy króm (naplózott események):

1. Menj a konzolra, és válaszd a „Chrome naplóesemények” lehetőséget.
2. Adja hozzá a kívánt feltételt, és futtassa a keresést.
3. Az eredmények között nyisson meg egy linket a „Tartalomkivonat” oszlopból.
4. Az oldalsó panelen kattintson a „VirusTotal jelentés megtekintése” elemre.

Az integrált jelentés tartalmazza a több szállító reputációját és hasznos részletek a triázshoz, például a fenyegetés észlelésének első és utolsó dátuma, valamint a megfigyelt mutatók.

Standard Reports vs. Enhanced (Vállalati) verzió

A Munkaterületen két jelentési módot fog látni: a verziót estándar („Jelentés megtekintése” jogosultságot és kompatibilis szerkesztést igényel) és verzió javított, amely automatikusan megjelenik a virustotal.com oldalon bejelentkezett fizető VirusTotal Enterprise-előfizetők számára.

Funciones klappol a standard verzióból:

• Fenyegetés hírneve több mint 70 beszállítóra támaszkodva.
• Szaporítási idő: első észlelések és átmeneti aktivitás.
• A fájl azonosítása: hashek, típus, méret, aláírás stb.

Mit hoz magával a továbbfejlesztett változat:

• Többszögű érzékelésközösségi szabályok (YARA, Sigma, IDS) és közösségi pontozás.
• Referenciaengedélyezési listák a téves riasztások kizárása érdekében (NIST, Microsoft tiszta hírfolyam, szoftverforgalmazók stb.).
• Kapcsolódó NOB-ok és az infrastruktúrája (letöltők, C2, kézbesítési vektorok).
• Interaktív fenyegetésdiagram a tárgyak közötti kapcsolatok vizualizálására.
• Biztonsági metaadatok: szerkesztő, rosszindulatú makrók, Android-engedélyek és egyebek.
• Kampány részleteiföldrajz, megtévesztési technikák és terjedési minták.
• Attribútumok szerinti pivotolás közös tulajdonságokkal rendelkező fenyegetések felfedezése.

gyakorlati előnyök a javított verzióból:

• Jobb korai felismerés a közösségi szabályoknak köszönhetően, mielőtt konszenzus alakulna ki az antivírusok között.
• Agilisabb vizsgálatok a belső megfigyelések kombinálása a globális kontextussal.
• Gyorsabb felbontás fenyegetésgráffal és kapcsolódó IOC-kkel a hatás mérésére és a megelőző blokkolásra.
• Proaktív stratégia: áttérni a még nem megfigyelt infrastruktúrára és felkészülni a kampányokra.

További felhasználási esetek a vállalati előfizetésben: automatizált riasztásbővítés, triázs és forenzikus elemzés, fejlett fenyegetésfelderítés és -vadászat, adathalászat és márkafigyelés, vörös csapat támogatás és poloskavadászat, És sebezhetőségi priorizálás a kockázat és a megfigyelt kizsákmányolás szerint.

Adatvédelmi, jogi és kvóta szempontok

A VirusTotal az Alphabet terméke. Használatával Ön elfogadja a benne foglaltakat. Szolgáltatási feltételek és adatvédelmi irányelvekMunkaterület-környezetekben, amikor megnyit egy jelentést a vizsgálóeszközből, a melléklet/tartomány/IP-hash megosztásra kerül a VirusTotallal az értékelés lekéréséhez; ha a rendszergazda nem nyitja meg a jelentést, semmi sem kerül megosztásra.

A VirusTotal adatait megosztjuk a biztonsági közösséggel, hogy elősegíti az együttműködést és az összehangolt fenyegetéselhárítás. A VirusTotal Enterprise ügyfelei számára a Workspace kutatóeszközből származó jelentések megnyitása nem fogyaszt kvótát; a virustotal.com oldalon megnyitott oldalak beleszámítanak a szokásos kvótába.

Jó gyakorlatok és további biztonság

Használja a VirusTotal-t mint ellenőrző réteg végrehajtás előttHa egy fájl vagy URL kockázatosnak tűnik, ne nyissa meg és ne látogassa meg. Ellenőrizze az eredményt a víruskeresőjével, és ha lehetséges, tájékozódjon a hibaelhárítási útmutatóról. gyanús fájlok észlelése és törlése vagy egy irányított homokozóval.

Kerülje a mászást érzékeny vagy saját minták Ha aggódik a metaadatok kitettsége miatt, érdemes lehet csak a hash-t feltölteni, vagy olyan folyamatokat használni, ahol a megosztás korlátozott (például a Workspace integráció, amely hash-eket oszt meg a jelentés lekérdezésekor).

Végpont megerősítése több réteggel: a jól konfigurált víruskereső mint például a Microsoft Defender, egy viselkedésérzékelést biztosító EDR, valamint egy hálózati IDS/IPS az átvitel közbeni ellenőrzéshez és blokkoláshoz. Egyetlen eszköz sem elég; az erő a kombinációban rejlik.

Ha Office dokumentumokkal dolgozik, tiltsa le alapértelmezett makrók és digitálisan aláírhatja saját futtatható fájljait. Aláírások és tanúsítványok ellenőrzése: Az érvényes és ismert aláírás csökkenti a kockázatot (bár nem szünteti meg, ha a személyazonossága veszélybe került).

A VirusTotal többplatformos, és vannak mobil kliensei is. Androidra van egy alkalmazás (például 2.5.4-es verzió egy 2025. májusi módosításban), hasznos linkek és fájlok menet közbeni érvényesítéséhez; ne feledd, hogy az elv ugyanaz: hírnév és kontextus, nem pedig rezidens védelem.

Kapcsolódó cikk:

Teljes körű útmutató a gyanús fájlok VirusTotal segítségével történő elemzéséhez és az eredmények megértéséhez

Izsák

Szenvedélyes író a bájtok és általában a technológia világáról. Szeretem megosztani tudásomat írásban, és ezt fogom tenni ebben a blogban, megmutatom a legérdekesebb dolgokat a kütyükről, szoftverekről, hardverekről, technológiai trendekről stb. Célom, hogy egyszerű és szórakoztató módon segítsek eligazodni a digitális világban.