Jump to content

Sign in to follow this  
pompa

Как использовать VirusTotal на полную мощность

Recommended Posts

Стилеры, майнеры, ратники и прочая ересь — все это часто вшито в кряки скачиваемых программ. И далеко не все могут провести полный анализ файла. Тут нужно потратить время на разбор дампов памяти/сети, изменений в регистре и т.д. А мы обычно просто скармливаем Для просмотра ссылки Войди или Зарегистрируйся файл и смотрим, какую оценку он дает. Это очень поверхностно. Не надо так!

Первое, что нужно сделать — зарегистрировать учетную запись. Только с ней можно посмотреть больше данных об анализируемом файле.

Раздел Relations

Здесь первые три подраздела показывают идентифицированные подключения к доменам/IP-адресам/страницам. Пример:

7d57a71374c0ca9e73d0a.png

 

Что можно определить по доменным именам, с которыми приложение устанавливает связь? Легитимные они (обычно это официальные сайты компании/разработчика), или не очень. Вторые обычно:

--содержат домены бесплатных хостингов (например, beget или 000webhost);

--имеют в имени подозрительные словосочетания (iplogger/crypto/steal и т.п.). Учтем, что многие сайты со словами crypto/btc/xmr в домене используются для добычи криптовалюты. Это майнеры.

--называются произвольным набором цифро-буквенных символов (примеры: ttr4pbb3u6);

--размещены на недорогих доменах верхнего уровня (примеры: *.xyz, *.pw, *.wtf);

Это далеко не полный список. Но по этим признакам ты сможешь определить большую часть распространителей вредоносного ПО.

Когда приложение подключается к конкретным IP-адресам, надо проверить вот что: что это за IP (используй whois); что размещено по этому адресу; файлы, которые связывались с этим адресом. Эту инфу можно узнать в VirusTotal — просто кликай по интересующему адресу. В подразделе Details находятся whois и результаты поиска по адресу в поисковике:

28243620d5a26d0d6aa7d.png

 

Подраздел Relations содержит инфу о сайтах, размещенных на IP в разное время. Плюс там данные о файлах (загруженных на VirusTotal), которые подключаются к этому адресу:

c52d5f524465f4804ca47.png

 

Следующий полезный подраздел — Dropped files. Как можно понять из названия, это созданные приложением файлы. Майнер, например, создает различные скрипты, написанные на Visual Basic, и исполняемые файлы (используются как майнеры).

4dd21beeb47f51794c1a6.png

Graph Summary — удобной способ чекать все данные выше. Не будем заострять на этом внимание.


Раздел Behavior

Здесь отображается анализ с песочниц. Рекомендуем использовать VirusTotal Jujubox и Для просмотра ссылки Войди или Зарегистрируйся vxCube — они дают больше данных. Не хочется повторяться, поэтому разберем только отдельные подразделы.

Registry Actions. Здесь изменения (создание/удаление/изменение ключей) регистра. Рекомендуем особое внимание обратить на разделы регистра, отвечающие за автозагрузку:

Код:

<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run
<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce
<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run
<HKLM>\Software\Microsoft\Windows\CurrentVersion\RunOnce
d7b6f966b2a54fc7fa435.png

 

Processes Tree — это возможность проследить созданные процессы. Можно определить, какие системные/легитимные файлы были заражены:

2bec086b746d7af45a5db.png

 

Итог

VirusTotal — отличный сервис для анализа приложений. Но никакой статический анализ не заменит динамический

Share this post


Link to post

Без вт ни одна скачка не проходит 

Share this post


Link to post
17 часов назад, 79rebol сказал:

Без вт ни одна скачка не проходит 

и что больше никаких альтернатив не используешь? 

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...