VirusTotal vs Jotti: potpuna usporedba i stvarne alternative

Informatec Digital » Sredstva » VirusTotal vs Jotti: potpuna usporedba i stvarne alternative

Kad pričamo analizirati sumnjive datoteke na zlonamjerni softverU razgovorima se uvijek spominju dva imena: VirusTotal i Jotti. To su veteranske usluge koje široko koriste i kućni korisnici i sigurnosni tehničari i analitičari kojima je potrebno brzo drugo mišljenje o datoteci preuzetoj s interneta ili primljenoj e-poštom.

Međutim, iako se na prvi pogled mogu činiti gotovo identični alatiStvarnost je takva da postoje značajne razlike u antivirusnim programima, vrstama skeniranja, maksimalnoj veličini datoteke, razini detalja izvješća, pa čak i pristupu usluge (napredniji ili jednostavniji). Nadalje, ekosustav je narastao i danas postoji mnogo alternativa koje vrijedi istražiti kako bi se izbjeglo oslanjanje na jednu platformu.

Zašto su online skeneri još uvijek korisni

U sustavima poput Windowsa, posjedovanje Instaliran i ažuriran rezidentni antivirus Nije opcionalno, već nužno. Zapravo, sam Microsoft integrira Windows Defender u sustav, koji nudi osnovnu zaštitu u stvarnom vremenu bez ikakvih daljnjih radnji s naše strane.

Unatoč tome, mnogi korisnici i dalje imaju određeno nepovjerenje prema Windows Defenderu i odlučuju se za sigurnosna rješenja treće strane od etabliranih marki koje su na tržištu već godinama. Ovaj glavni antivirus obično prati računalo u pozadini, ali ne želimo uvijek instalirati još jedan program samo da bismo provjerili određenu datoteku.

U svakodnevnom životu vrlo je praktično moći učiniti Analiza jedne ili više datoteka na zahtjev izravno iz preglednikabez instalacije i bez diranja postavki sustava. Tu dolaze do izražaja usluge poput VirusTotala ili Jottija, koje vam omogućuju prijenos datoteke i njezinu istovremenu provjeru u nekoliko antivirusnih programa.

Uz planirana skeniranja antivirusnog programa, preporučljivo je periodično provoditi skeniranje. temeljitija provjera računalaAli kada nas brine određena datoteka (privitak, preuzeta izvršna datoteka, upitan dokument), ovi online skeneri nude brzo i vrlo praktično drugo mišljenje.

Što je VirusTotal i kako funkcionira?

Tijekom godina, VirusTotal je postao svjetska referenca u analizi datoteka i URL-ova S weba. Pripada Googleovom ekosustavu i integrira se u sve vrste tijekova rada: od korisnika koji prenose jednu datoteku do SOC timova koji automatiziraju upite putem API-ja.

Najveća snaga VirusTotala je u tome što Kombinira više od 70 antivirusnih programa i sigurnosnih alata analizirati poslanu stavku. To jest, nije ograničeno na jedno rješenje, već testira datoteku, URL, domenu ili IP adresu u odnosu na širok raspon neovisnih tehnologija kako bi se povećale šanse za otkrivanje.

Za korisnika je postupak vrlo jednostavan: samo prenesite datoteku ili zalijepite URL, domena, IP ili hashPričekajte nekoliko sekundi i pregledajte detaljno izvješće koje pokazuje koji ga tražilice označavaju kao zlonamjeran, koji ga smatraju čistim i koja je vrsta prijetnje, ako uopće postoji, otkrivena.

Još jedna vrlo moćna značajka je njegova ogromna povijesna baza uzorakaVirusTotal pohranjuje i organizira analizirane datoteke, omogućujući vam pregled starih uzoraka kako biste vidjeli kako su se detekcije razvijale i koje su dodatne informacije generirane tijekom vremena.

Platforma također sadrži vrlo aktivna zajednica koji komentira, označava i obogaćuje uzorke kontekstom: obitelji zlonamjernog softvera, poznate kampanje, povezani pokazatelji itd. Ovaj aspekt suradnje dodaje ogromnu dodatnu vrijednost izvješćima.

S druge strane, besplatna verzija ima ograničenja veličine datoteke koji se mogu prenijeti i u korištenju API-ja. Još jedna osjetljiva točka je privatnost: mnogi se korisnici ne osjećaju ugodno prijenos osjetljivih datoteka znajući da se mogu dijeliti s zajednicom i zaštitarskim tvrtkama.

Što je Jotti i kako se razlikuje od VirusTotala?

Jottijevo skeniranje zlonamjernog softvera puno je jednostavnija web usluga, dizajnirana za one koji žele brzo provjeri datoteku Bez kompliciranja. Koncept je sličan: prenesete datoteku i ona se analizira s nekoliko antivirusnih programa istovremeno.

Prema vlastitim informacijama službe, Jotti dopušta Prenesite do 5 datoteka odjednomS maksimalnom veličinom datoteke od 250 MB u najnovijoj konfiguraciji (neke starije usporedbe spominjale su 20 MB, ali trenutno ograničenje je znatno veće), ovo ga čini praktičnim za dokumente srednje veličine, izvršne datoteke ili programe za kompresiju.

Broj motora je znatno manji nego u VirusTotalu: Jotti radi s između 15 i 20 različitih antivirusnih programašto je u praksi i dalje dobro "drugo mišljenje", ali očito nudi manje raznolikosti od više od 70 s VirusTotala.

Jedna od njegovih prednosti je sučelje: Jotti se ističe po Vrlo čista i izravna prezentacijaIdealno za korisnike koji nisu tehnički potkovani i samo žele znati miriše li datoteka "sumnjivo" ili ne. Izvješće je kraće i manje opterećujuće od VirusTotalovog.

Međutim, usluga je usmjerena isključivo na analizirati slobodne datotekeNe dopušta skeniranje URL-ova, domena ili IP adresa, što je dio svakodnevne rutine s VirusTotalom za analitičare i administratore.

Sama usluga upozorava da, čak i ako koristi nekoliko motora, Ne postoji 100% zaštitaOsim toga, sve poslane datoteke dijele se s antivirusnim tvrtkama koje sudjeluju u programu kako bi se poboljšali njihovi potpisi i mehanizmi detekcije, što treba uzeti u obzir ako rukujete vrlo osjetljivim sadržajem.

Sličnosti između VirusTotala i Jottija

Iz perspektive prosječnog korisnika, VirusTotal i Jotti dijele niz osnovnih karakteristika koje objašnjavaju zašto se često spominju zajedno kada se raspravlja o... online skeneri zlonamjernog softvera.

Prije svega, oboje su besplatne usluge dostupne iz vašeg preglednikaZa osnovnu upotrebu nije potrebno stvaranje računa, niti instaliranje dodatnog softvera. Jednostavno posjetite web-stranicu, odaberite datoteku i pričekajte rezultat.

Oboje se temelje na ideji istovremeno korištenje više antivirusnih programa kako bi povećali vjerojatnost otkrivanja prijetnji. Umjesto oslanjanja na mišljenje jednog dobavljača, nude svojevrsno "glasanje" između nekoliko motora.

Također se slažu da su alati za analitiku na zahtjevNisu zamjena za antivirusni softver za stolna računala. Ne pružaju zaštitu u stvarnom vremenu, ne blokiraju preuzimanja niti nadziru procese; skeniraju samo ono što im ručno pošaljete.

I VirusTotal i Jotti su nudili ili nastavljaju nuditi klijenti za stolna računala Kako bi se olakšalo slanje datoteka bez otvaranja preglednika, nešto korisno za one koji često analiziraju datoteke i ne žele svaki put ponavljati isti ručni postupak.

Ključne razlike: Gdje VirusTotal pobjeđuje, a gdje je Jotti uvjerljiviji?

Iako je koncept sličan, pri usporedbi VirusTotala i Jottija, važne razlike se pojavljuju u mehanizmima, opcijama analize i razini detalja, što svaki od njih čini prikladnijim za određenu vrstu korisnika.

Prva velika razlika leži u broj i raznolikost antivirusnih programaUsporedni testovi pokazali su da je Jotti koristio oko 19 antivirusnih programa, dok je VirusTotal koristio 40, 50 ili više, ovisno o eri, uključujući popularna rješenja poput McAfeeja, Symanteca ili Trend Microa koja Jotti ne uključuje.

Još jedno područje gdje VirusTotal ima prednost je u opcije skeniranjaNije ograničeno samo na datoteke: omogućuje vam i analizu URL-ova, domena, IP adresa, hashova, pa čak i izdvajanje informacija o ponašanju, što je vrlo korisno za provjeru poveznica prije preuzimanja. posjećivati ​​potencijalno opasne web stranice.

Što se tiče same sigurnosti veze, VirusTotal nudi prijenos datoteka pomoću SSL-a za šifriranje prijenosa tijekom analize. Jotti, u mnogim svojim fazama, nije imao tu razinu vidljivih opcija, što može zabrinuti korisnike koji su vrlo štite od povjerljivosti onoga što prenose.

S druge strane, Jotti osvaja bodove upravo zbog svog jednostavnost i jasnoćaNe zatrpava vas desecima kartica, indikatora ili naprednih metrika; fokusira se na prikazivanje koji tražilice označavaju datoteku kao sumnjivu i malo više od toga, nešto što će mnogi cijeniti ako samo žele brz odgovor.

Razne komparativne analize obično zaključuju da, ako ono što tražite jest maksimalna pokrivenost i svestranostVirusTotal pobjeđuje s velikom razlikom. Jotti je, s druge strane, dobro pozicioniran kao komplementarna usluga, brzo drugo mišljenje nakon pokretanja VirusTotala ili korištenja lokalnog antivirusa.

VirusTotal nakon integracije u Google Threat Intelligence

Posljednjih godina situacija se promijenila za profesionalne korisnike VirusTotala, jer je usluga sve više integrirana u Googleova obavještajna služba za prijetnje (GTI), Googleova linija proizvoda za kibernetičku inteligenciju usmjerenih na poduzeća.

S ovom integracijom, mnoge značajke koje su prethodno bile dostupne u slobodni ili srednji nivoi Prešli su na više modele plaćanja, a razni stručnjaci su na specijaliziranim forumima komentirali značajna povećanja cijena za napredni pristup podacima i izvješćima.

Ova promjena dolazi u posebno osjetljivom trenutku, s stalni porast ranjivosti i prijetnjiIzvješća o obavještajnim podacima o prijetnjama procjenjuju porast od više od 15% otkrivenih CVE-ova u usporedbi s prethodnim godinama, što zahtijeva više podataka, više konteksta i više automatizacije.

Za mnoge timove za kibernetičku sigurnost, lovce na prijetnje i SOC-ove, utočište se nalazi samo u prijenosi iz zajednice i antivirusna otkrivanja Unutar VirusTotala to više nije dovoljno, niti je uvijek isplativo ako želite dublje istražiti pomoću naprednih API-ja.

Sve je to potaknulo potragu za praktične i komplementarne alternative koji zadovoljavaju potrebe za obavještajnim podacima o prijetnjama, korelacijom pokazatelja i automatizacijom bez 100%-tne ovisnosti o ekosustavu VirusTotal/GTI.

Moćne alternative VirusTotalu (osim Jottija)

Iako je Jotti zanimljiva alternativa za povremenu upotrebu, postoji cijeli niz platforme koje pokrivaju specifične aspekte analiza zlonamjernog softvera, dijeljenje uzoraka, reputacija IP adresa ili mapiranje zlonamjerne infrastrukture vrijedni su razmatranja.

Metadefender Cloud (OPSWAT)

Metadefender Cloud, tvrtke OPSWAT, je rješenje u oblaku koje ne samo da nudi Analiza s više motora u stilu VirusTotalaali dodaje dodatne slojeve usmjerene na prevenciju, poput dezinfekcije i sanacije datoteka.

Usluga omogućuje skeniranje datoteke, URL-ovi, IP adrese i hash-ovi S preko 20-30 antivirusnih programa koji pretražuju i poznate prijetnje i sumnjivo ponašanje, ideja je maksimizirati otkrivanje kombiniranjem različitih tehnologija.

Njegova glavna značajka je Razoružanje i rekonstrukcija sadržaja (CDR)Uzima datoteku, uklanja potencijalno opasne dijelove (makroe, skripte, ugrađeni sadržaj) i generira upotrebljivu "čistu" verziju, čak i u slučajevima kada zlonamjerni softver još nije eksplicitno identificiran.

Metadefender Cloud također nudi skeniranje ranjivosti unutar datotekaNa primjer, otkrivanjem zastarjelih biblioteka ili komponenti s poznatim exploitima, što dodaje dodatni sloj sigurnosti pukoj antivirusnoj analizi.

Zahvaljujući API-ju i integracijama, dobar je izbor za organizacije koje žele automatizirati sanitaciju dolaznih datoteka (e-pošta, korisnički portali, interni transferi) prije nego što stignu do krajnjeg korisnika.

Jottijevo skeniranje zlonamjernog softvera kao jednostavna alternativa

Osim izravne usporedbe s VirusTotalom, Jotti ostaje izvrstan adut za brzo i besplatno skeniranje u kućnim okruženjima ili malim poduzećima koja ne zahtijevaju velika raspoređivanja.

Njegova glavna privlačnost je korištenje više antivirusnih programa koji rade paralelnoTo poboljšava stopu otkrivanja u usporedbi sa slijepim oslanjanjem na jedan proizvod za stolna računala i može otkriti prijetnje koje bi jedan program propustio.

Njegovo ograničenje veličine (trenutno do 250 MB po datoteci i s mogućnošću slanja 5 odjednomTo ga čini praktičnim za većinu uobičajenih slučajeva, od instalacijskih programa do komprimiranih datoteka ili donekle teških dokumenata.

Pristup sučelju je vrlo minimalistički, s obična ploča bez naprednih opcija to bi moglo biti zbunjujuće. Idealno je za one koji žele prenijeti datoteku, vidjeti popis tražilica i brzo odlučiti vjeruju li toj datoteci ili ne.

Za analitičare ili napredne korisnike, Jotti dobro funkcionira kao drugi ili treći izvor provjere nakon VirusTotala, posebno u procesima gdje želite usporediti rezultate između različitih online usluga.

VirSCAN.org

VirSCAN.org je još jedan klasik višestruki antivirusni skeneri na webuOmogućuje vam prijenos datoteka i provjeru s nekoliko programa različitih proizvođača, dajući presjek mogućih infekcija.

Dugo je vremena uspio Ograničenje od 20 MB po datoteciOvo je nešto konzervativnije od Jottijevih trenutnih brojki, ali dovoljno za većinu izvršnih datoteka i uredskih dokumenata koji se obično koriste u analitičkim scenarijima.

Njihov pristup je sličan: idi gore, pričekaj rezultat i provjerite koji motori što detektirajuManje se fokusira na ultra-upotrebljivost, a više na ponudu funkcionalne i besplatne usluge korisne za drugo mišljenje.

Intezer analiza

Intezer Analyze daje novi zaokret tradicionalnom pristupu i fokusira se na ono što oni nazivaju "analiza genetskog koda"Umjesto da se oslanja isključivo na antivirusne skeniranja, on analizira datoteku i uspoređuje fragmente koda s ogromnim bazama podataka zlonamjernog softvera i legitimnog softvera.

Na taj način je u mogućnosti otkrivanje ponovne upotrebe koda u različitim obiteljima zlonamjernog softvera, vidjeti sličnosti s prethodnim uzorcima i grupirati uzorke po porijeklu, što je izuzetno korisno za istraživače i obavještajne timove.

Intezerova izvješća pružaju kontekst o vjerojatnom podrijetlu kodakoji su dijelovi novi, koji su preuzeti iz drugih trojanaca ili alata i kako se uzorak uklapa u poznate kampanje, što olakšava rad na atribuciji.

Nadalje, dobro se integrira kroz API-ji za automatizaciju slanja i korelacijaStoga je to snažna alternativa za poslovna i istraživačka okruženja koja žele ići dalje od tipičnog "zaraženog/nezaraženog".

AlienVault (plava razina)

AlienVault, sada pod brendom Level Blue, nije samo alat za analizu zlonamjernog softvera, već ujedinjena sigurnosna platforma koji integrira više mogućnosti u jedan proizvod.

Njihov prijedlog se vrti oko Ujedinjeno upravljanje sigurnošću (USM)Kombiniranje SIEM-a, otkrivanja imovine, skeniranja ranjivosti i IDS-a, uz otkrivanje zlonamjernog softvera i korelaciju događaja.

Jedna od ključnih značajki AlienVaulta je njegova kolaborativne obavještajne podatke o prijetnjama, koji se hrani iz zajednice i komercijalnih izvora, a koji se kontinuirano ažurira kako bi se identificiralo sumnjivo ponašanje i tekuće kampanje.

Zahvaljujući svom API-ju i mogućnosti integracije s drugim rješenjima, predstavlja atraktivnu alternativu za organizacije koje žele vidjeti zlonamjerni softver kao samo još jedan dio slagalice unutar cjelovitog sigurnosnog okvira, a ne kao nešto izolirano.

MalwareBazar

MalwareBazar, koji pokreću abuse.ch i Spamhaus, je suradnička platforma za dijeljenje i preuzimanje uzoraka zlonamjernog softveraUvelike je usmjeren na istraživače, proizvođače sigurnosnih sustava i timove kojima je potreban svjež materijal za njihove analize.

Jedna od njegovih prednosti u odnosu na druge platforme je ta što Uklanja mnoge prepreke za ulazak.Nema složenih zahtjeva za registraciju ili prestrogih ograničenja preuzimanja, što svakodnevni istraživački rad čini lakšim.

Platforma se fokusira na stvarne uzorke, izbjegavajući benigne datoteke, adware ili potencijalno neželjene programe (PUP) kako bi se maksimizirala vrijednost onoga što se dijeli. To pomaže onima koji analiziraju obitelji zlonamjernog softvera, botnet mreže ili određene kampanje.

MalwareBazar nudi API koji omogućuje automatizirati preuzimanje i integraciju uzoraka u analitičkim tokovima, sandboxingu ili obogaćivanju obavještajnih podataka, kao i integracijama sa SIEM-om i drugim rješenjima.

Hunt.io

Hunt.io je više usmjeren na lov na prijetnje i obavještajne podatke o zlonamjernoj infrastrukturi a ne analizu samih datoteka. Fokus je na domenama, IP adresama i hashevima te kako su međusobno povezani.

Jedna od njegovih glavnih karakteristika je njegova C2 infrastrukturni feed, koji proaktivno identificira i provjerava naredbene i kontrolne poslužitelje prije nego što budu masovno iskorišteni, zahvaljujući velikim internetskim skeniranjima.

Platforma izvodi kontinuirano praćenje izloženih usluga, certifikate, HTTP zaglavlja i druge izvana vidljive elemente za otkrivanje obrazaca korištenja od strane zlonamjernih aktera.

S značajkama poput IOC Huntera, omogućuje počevši od određenog pokazatelja (domena, IP adresa, hash) i istražiti povezanu infrastrukturu: izložene direktorije, dijeljene certifikate, sumnjive zaglavlja itd.

OPSWAT MetaDefender Cloud kao alat za lov

Osim svojih mogućnosti kao višekanalnog skenera, MetaDefender Cloud je dobro pozicioniran kao alat za lov na prijetnje integriranjem podataka od više pružatelja sigurnosnih usluga, povratnih informacija korisnika i mogućnosti korelacije.

Platforma iskorištava više od 20 antivirusnih programa i druge slojeve analize kako bi se smanjili lažno negativni rezultati, poboljšalo vrijeme odziva i olakšalo određivanje prioriteta upozorenja u korporativnim okruženjima.

Njegov kolaborativni pristup, gdje korisnici mogu Označavanje i komentiranje datoteka, IP adresa ili domenaOmogućuje kontinuirano fino podešavanje algoritama za detekciju i održavanje sustava usklađenim s najnovijim prijetnjama.

Pješčanik CAPE

CAPE Sandbox (CAPEv2) je evolucija prethodnih projekata poput Cuckoo Sandboxa i postao je Vrlo moćan alat za dinamičku analizu zlonamjernog softvera, idealno za laboratorije i timove za hitne intervencije.

Njegova najveća snaga leži u kombiniranju statička i dinamička analiza za izdvajanje unutarnjih konfiguracija, raspakiranje skrivenih korisnih tereta i otkrivanje tehnika izbjegavanja koje često ostaju nezapažene u isključivo statičkim analizama.

CAPEv2 je sposoban pratiti API pozivi, mrežni promet, promjene datotečnog sustava i memorijageneriranje vrlo detaljnih izvješća o ponašanju zlonamjernog softvera tijekom izvršavanja.

Također uključuje sustav pročišćavanja kojim upravlja YARA pravila i drugi mehanizmišto pomaže u suprotstavljanju uzoraka tehnikama protiv pijeska ili naprednijim pokušajima kamuflaže.

AbuseIPDB

AbuseIPDB je kolaborativna baza podataka Reputacija IP adrese koji prikuplja izvješća o zlonamjernim aktivnostima koje podnose korisnici, tvrtke i automatizirane usluge iz cijelog svijeta.

Bilo koja osoba ili sustav može Prijavi IP adrese koje izvode napadepokušaji grube sile, neželjena pošta, zlonamjerno skeniranje ili drugo sumnjivo ponašanje, što doprinosi poboljšanju kvalitete baze podataka.

Ovaj pristup utemeljen na zajednici osigurava da baza podataka ostane vrlo ažuran sa stvarnim zlonamjernim aktivnostima, izvan jednostavnih statičkih popisa stvorenih u laboratoriju, i čini ga vrijednim za blokiranje ili filtriranje dolaznog prometa.

Njegov API olakšava integraciju ove inteligencije reputacije u vatrozidovi, SIEM, WAF ili vlastite skriptetako da odluke o blokiranju ili upozoravanju mogu biti potkrijepljene obogaćenim podacima o povijesti svake IP adrese.

S obzirom na sve navedeno, VirusTotal i Jotti ostaju dva vrlo korisna alata za specifičnu analizu datoteka, ali se uklapaju u mnogo širu sliku gdje se višenamjenski skeneri, platforme za dijeljenje uzoraka, napredni sandboxovi i obavještajni podaci o zlonamjernoj infrastrukturi međusobno nadopunjuju kako bi ponudili mnogo bogatiji i praktičniji pogled na trenutne prijetnje.