Обновление Virustotal обеспечивает поддержку анализа сетевого трафика

Было не совсем ясно, в каком направлении будет двигаться Virustotal после официального объявления о приобретении сервиса Google. Некоторые опасались, что он будет интегрирован в основные сервисы Google и отключится, в то время как другие надеялись, что сервис получит выгоду от огромных ресурсов материнской компании.

После этого сервис улучшился, повысив максимальный размер файла до 64 мегабайт в процессе и устраняя почти все время ожидания, которое пользователи сервиса испытывали перед приобретением.

Virustotal объявил добавление новой функции два дня назад в официальном блоге компании. Сервис теперь поддерживает анализ так называемых данных PCAP. PCAP — PAcket CApture — файлы содержат перехваченный сетевой трафик. Одним из применений в этом отношении является захват сетевого трафика во время установки программного обеспечения или во время работы программного обеспечения, который вы хотите проанализировать, чтобы выяснить, выполняются ли неавторизованные подключения и, если это так, к каким серверам. Раньше вы могли сканировать файл на Virustotal, но это не обязательно сообщало вам что-либо о подключениях, которые он установил во время работы.

Вот одно из предложений о том, как использовать новую функцию:

  • Получите приложение для песочницы, например Песочница для запуска программного обеспечения или файлов, которые вы хотите проанализировать в песочнице.
  • Используйте сетевой монитор, например Wireshark для записи сетевого трафика и последующего сохранения его в виде файла PCAP.
  • Загрузите файл PCAP в Virustotal для его анализа.

Virustotal просканирует файл всеми сканерами в обычном режиме, но после этого использует системы обнаружения вторжений Snort и Suricata для анализа трафика. Он выполняет несколько операций, в том числе:

  • Извлекает метаданные файла.
  • Перечисляет разрешения DNS.
  • Перечисляет HTTP-соединение.
  • Извлекает файлы, которые он распознает в сетевом трафике, и связывает с отчетами Virustotal.

virustotal analyse pcap

Анализ сетевого трафика открывает дополнительные возможности в отношении Virustotal и услуг, которые он предоставляет. Его можно использовать для других целей, помимо мониторинга трафика изолированного приложения. Это может включать в себя регистрацию сетевого трафика системы при загрузке и вскоре после этого или запись следов эксплуатации браузера.

Эта функция является долгожданным дополнением к арсеналу Virustotal, хотя ее могут использовать почти исключительно исследователи безопасности. (через)