VirusTotal vs Jotti: teljes körű összehasonlítás és valós alternatívák

Informatec Digital » Erőforrás » VirusTotal vs Jotti: teljes körű összehasonlítás és valós alternatívák

Amikor beszélünk gyanús fájlok elemzése kártevők szempontjábólKét név mindig felmerül a beszélgetésekben: a VirusTotal és a Jotti. Ezek veterán szolgáltatások, amelyeket széles körben használnak mind az otthoni felhasználók, mind a biztonsági technikusok és elemzők, akiknek gyors második véleményre van szükségük egy internetről letöltött vagy e-mailben kapott fájllal kapcsolatban.

Azonban, bár első pillantásra úgy tűnhetnek, szinte azonos eszközökA valóság az, hogy jelentős különbségek vannak a víruskereső motorokban, a vizsgálati típusokban, a maximális fájlméretben, a jelentés részletességi szintjében, sőt még a szolgáltatás megközelítésében is (fejlettebb vagy egyszerűbb). Továbbá az ökoszisztéma is megnőtt, és ma már számos alternatíva létezik, amelyeket érdemes megvizsgálni, hogy elkerüljük az egyetlen platformra való támaszkodást.

Miért hasznosak még mindig az online szkennerek?

Az olyan rendszerekben, mint a Windows, egy Rezidens víruskereső telepítve és frissítve Ez nem opcionális, hanem szükséges. Valójában maga a Microsoft is integrálja a Windows Defendert a rendszerbe, amely alapvető valós idejű védelmet nyújt anélkül, hogy további beavatkozásra lenne szükség a részünkről.

Ennek ellenére sok felhasználó továbbra is bizalmatlan a Windows Defenderrel szemben, és inkább a Windows Defendert választja. harmadik féltől származó biztonsági megoldások olyan bevált márkáktól, amelyek évek óta a piacon vannak. Ez a fő víruskereső általában a háttérben figyeli a számítógépet, de nem mindig szeretnénk egy másik programot telepíteni csak azért, hogy egy adott fájlt ellenőrizzünk.

A mindennapi életben nagyon praktikus, ha tudunk valamit csinálni Egy vagy több fájl igény szerinti elemzése közvetlenül a böngészőbőltelepítés és a rendszerbeállítások megváltoztatása nélkül. Itt jönnek képbe olyan szolgáltatások, mint a VirusTotal vagy a Jotti, amelyek lehetővé teszik, hogy feltölts egy fájlt, és egyszerre több víruskereső motorral is ellenőrizd.

A víruskereső ütemezett vizsgálatain túl célszerű rendszeres időközönként vizsgálatot végezni. alaposabb számítógép-ellenőrzésDe amikor egy adott fájl (melléklet, letöltött futtatható fájl, kétes dokumentum) aggaszt minket, ezek az online szkennerek gyors és nagyon kényelmes második véleményt kínálnak.

Mi az a VirusTotal és hogyan működik?

Az évek során a VirusTotal a következővé vált: a világ referencia a fájl- és URL-elemzésben A webről. A Google ökoszisztémájához tartozik, és mindenféle munkafolyamatba integrálható: a felhasználók egyetlen fájl feltöltésétől kezdve a SOC-csapatokig, akik API-n keresztül automatizálják a lekérdezéseket.

A VirusTotal legnagyobb erőssége, hogy Több mint 70 víruskereső motort és biztonsági eszközt egyesít a beküldött elem elemzéséhez. Vagyis nem korlátozódik egyetlen megoldásra, hanem a fájlt, URL-t, domaint vagy IP-címet számos független technológiával összehasonlítva teszteli az észlelés esélyének növelése érdekében.

A felhasználó számára a folyamat nagyon egyszerű: csak töltse fel a fájlt, vagy illessze be a URL, domain, IP vagy hashVárjon néhány másodpercet, és tekintse át a részletes jelentést, amely megmutatja, hogy mely keresőmotorok jelölték meg rosszindulatúként, melyek tartják tisztának, és milyen típusú fenyegetést észlelt, ha egyáltalán észlelt.

Egy másik nagyon erős tulajdonsága az, hogy hatalmas történelmi mintaadatbázisA VirusTotal tárolja és rendszerezi az elemzett fájlokat, lehetővé téve a régi minták megtekintését, hogy lássa, hogyan fejlődtek az észlelések, és milyen további információk keletkeztek az idők során.

A platform emellett egy nagyon aktív közösség amely megjegyzéseket fűz a mintákhoz, címkéket ad hozzá, és kontextussal gazdagítja azokat: kártevőcsaládok, ismert kampányok, kapcsolódó indikátorok stb. Ez az együttműködésen alapuló aspektus óriási többletértéket ad a jelentésekhez.

Hátrányként említhető, hogy az ingyenes verziónak van fájlméret-korlátozások feltölthető és az API használatában. Egy másik érzékeny pont az adatvédelem: sok felhasználó nem érzi jól magát érzékeny fájlok feltöltése tudván, hogy megoszthatók a közösséggel és a biztonsági cégekkel.

Mi a Jotti, és miben különbözik a VirusTotaltól?

A Jotti kártevő-ellenőrzése egy sokkal egyszerűbb webszolgáltatás, amelyet azok számára terveztek, akik gyorsan ellenőrizni egy fájlt Anélkül, hogy bonyolítanánk a dolgokat. A koncepció hasonló: feltöltesz egy fájlt, és azt párhuzamosan több víruskereső motor elemzi.

A szolgáltatás saját információi szerint a Jotti lehetővé teszi Akár 5 fájl feltöltése egyszerreA legújabb konfigurációban 250 MB maximális fájlmérettel (néhány régebbi összehasonlítás 20 MB-ot említett, de a jelenlegi korlát lényegesen nagyobb) ez praktikussá teszi közepes méretű dokumentumok, futtatható fájlok vagy tömörítőprogramok számára.

A motorok száma jelentősen alacsonyabb, mint a VirusTotalban: A Jotti a következőkkel működik: 15 és 20 különböző víruskereső program közöttami a gyakorlatban még mindig egy jó „második vélemény”, de nyilvánvalóan kevesebb változatosságot kínál, mint a VirusTotal több mint 70 véleménye.

Az egyik előnye a kezelőfelület: a Jotti kiemelkedik a többi közül Nagyon tiszta és közvetlen előadásmódIdeális nem műszaki felhasználók számára, akik csak azt szeretnék tudni, hogy egy fájl "gyanús-e" vagy sem. A jelentés rövidebb és kevésbé túlterhelő, mint a VirusTotalé.

A szolgáltatás azonban kizárólag arra összpontosít, hogy elemezze a laza fájlokatNem engedélyezi az URL-ek, domainek vagy IP-címek szkennelését, ami a VirusTotal elemzői és rendszergazdáinak napi rutinjának része.

Maga a szolgáltatás figyelmeztet, hogy még ha több motort is használ, Nincs 100%-os védelemEzenkívül az összes beküldött fájlt megosztják a részt vevő víruskereső cégekkel, hogy javítsák vírusazonosítóikat és észlelési mechanizmusaikat, amit érdemes figyelembe venni, ha nagyon érzékeny tartalmakat kezel.

A VirusTotal és a Jotti közötti hasonlóságok

Az átlagfelhasználó szemszögéből a VirusTotal és a Jotti számos alapvető jellemzővel rendelkezik, amelyek megmagyarázzák, miért említik őket gyakran együtt a következők megvitatása során: online kártevőkeresők.

Először is, mindkettő ingyenes szolgáltatások, amelyek a böngészőjéből érhetők elAz alapvető használathoz nincs szükség fiók létrehozására, és további szoftver telepítésére sem. Egyszerűen látogassa meg a weboldalt, válassza ki a fájlt, és várja meg az eredményt.

Mindkettő azon az elképzelésen alapul, hogy több víruskereső motor egyidejű használata hogy növeljék a fenyegetések észlelésének valószínűségét. Ahelyett, hogy egyetlen gyártó véleményére hagyatkoznának, egyfajta „szavazást” kínálnak több motor között.

Abban is egyetértenek, hogy ők igény szerinti elemzőeszközökNem helyettesítik az asztali víruskereső szoftvereket. Nem biztosítanak valós idejű védelmet, nem blokkolják a letöltéseket, és nem figyelik a folyamatokat; csak azt vizsgálják, amit manuálisan küldesz nekik.

Mind a VirusTotal, mind a Jotti kínált vagy továbbra is kínál asztali kliensek A fájlok böngésző megnyitása nélküli küldésének megkönnyítése érdekében hasznos azok számára, akik gyakran elemzik a fájlokat, és nem szeretnék minden alkalommal ugyanazt a manuális folyamatot megismételni.

Főbb különbségek: Hol nyer a VirusTotal, és hol meggyőzőbb a Jotti?

Bár a koncepció hasonló, a VirusTotal és a Jotti összehasonlításakor fontos különbségek mutatkoznak a motorokban, az elemzési lehetőségekben és a részletesség szintjében, így mindegyik jobban megfelel egy bizonyos típusú felhasználónak.

Az első lényeges különbség abban rejlik, hogy víruskereső motorok száma és változatosságaÖsszehasonlító tesztek kimutatták, hogy míg a Jotti körülbelül 19 motort használt, addig a VirusTotal 40-et, 50-et vagy többet a korszaktól függően, beleértve olyan népszerű megoldásokat is, mint a McAfee, a Symantec vagy a Trend Micro, amelyeket a Jotti nem használ.

Egy másik terület, ahol a VirusTotalnak előnye van, az a szkennelési beállításokNem korlátozódik fájlokra: lehetővé teszi URL-ek, domainek, IP-címek, hash-ek elemzését, sőt viselkedési információk kinyerését is, ami nagyon hasznos a linkek letöltés előtti ellenőrzéséhez. potenciálisan veszélyes webhelyek látogatása.

Magának a kapcsolatnak a biztonságát tekintve a VirusTotal a következőket kínálja: fájlfeltöltés SSL használatával az átvitel titkosítása az elemzés során. A Jotti számos szakaszában nem rendelkezett ilyen szintű látható beállításokkal, ami aggaszthatja azokat a felhasználókat, akik nagyon védik a feltöltött tartalmaik bizalmas jellegét.

Másrészt Jotti pontokat szerez pontosan a sajátja miatt egyszerűség és világosságNem áraszt el tucatnyi füllel, indikátorral vagy speciális mutatóval; arra összpontosít, hogy megmutassa, mely keresőmotorok jelölik meg gyanúsként a fájlt, és semmi másra, amit sokan értékelni fognak, ha csak gyors választ szeretnének.

Különböző összehasonlító elemzések általában arra a következtetésre jutnak, hogy ha amit keresel, az az, maximális lefedettség és sokoldalúságA VirusTotal nagy fölénnyel nyer. A Jotti viszont jól pozicionált kiegészítő szolgáltatásként, gyors második véleményként a VirusTotal futtatása vagy a helyi víruskereső használata után.

A VirusTotal a Google Threat Intelligence-be való integrációja után

Az utóbbi években megváltozott a helyzet a VirusTotal professzionális felhasználói számára, mivel a szolgáltatás egyre inkább integrálódott a... Google Fenyegetésfelderítés (GTI), a Google vállalati orientált kiberbiztonsági termékcsaládja.

Ezzel az integrációval számos olyan funkció elérhetővé vált, amelyek korábban a következőben voltak elérhetők: szabad vagy középhaladó szinten Áttértek a magasabb fizetési modellekre, és számos szakember szakosodott fórumokon jelentős áremelésekről számolt be az adatokhoz és jelentésekhez való fejlett hozzáférésért.

Ez a váltás egy különösen kényes pillanatban történt, egy a sebezhetőségek és fenyegetések folyamatos növekedéseA fenyegetésfelderítési jelentések becslései szerint a nyilvánosságra hozott CVE-k száma több mint 15%-kal nőtt az előző évekhez képest, ami több adatot, több kontextust és több automatizálást igényel.

Sok kiberbiztonsági csapat, fenyegetésvadász és SOC számára csak a ... menedéke keresésére szolgál. közösségi feltöltések és vírusészlelések A VirusTotalon belül már nem elegendő, és nem is mindig költséghatékony, ha mélyebbre akarunk ásni fejlett API-k használatával.

Mindez ösztönözte a keresést gyakorlati és kiegészítő alternatívák amelyek megfelelnek a fenyegetésfelderítési igényeknek, az indikátorok korrelációjának és az automatizálásnak anélkül, hogy 100%-ban a VirusTotal/GTI ökoszisztémától függenének.

Hatékony alternatívák a VirusTotal helyett (a Jotti-n túl)

Bár a Jotti érdekes alternatíva alkalmi használatra, számos más termék közül is létezik. platformok, amelyek bizonyos aspektusokat fednek le A kártevő-elemzés, a mintamegosztás, az IP-címek hírnevének vizsgálata vagy a rosszindulatú infrastruktúra feltérképezése mind megfontolandó.

Metadefender Cloud (OPSWAT)

Az OPSWAT Metadefender Cloud egy felhőalapú megoldás, amely nemcsak a következőket kínálja: VirusTotal stílusú többmotoros elemzésde további, a megelőzésre összpontosító rétegeket is hozzáad, mint például a fertőtlenítés és az irattisztítás.

A szolgáltatás lehetővé teszi a szkennelést fájlok, URL-ek, IP-címek és hash-ek Több mint 20-30 víruskereső motorral, amelyek mind az ismert fenyegetéseket, mind a gyanús viselkedést keresik, az a cél, hogy különböző technológiák kombinálásával maximalizálják az észlelést.

Fő jellemzője a Tartalom hatástalanítása és rekonstrukciója (CDR)Fog egy fájlt, eltávolítja a potenciálisan veszélyes részeket (makrókat, szkripteket, beágyazott tartalmat), és egy használható „tiszta” verziót generál, még olyan esetekben is, amikor a kártevőt még nem azonosították explicit módon.

A Metadefender Cloud emellett kínálja fájlokban lévő sebezhetőségek vizsgálataPéldául elavult könyvtárak vagy ismert sérülékenységeket tartalmazó összetevők észlelésével, ami további biztonsági réteget ad a puszta víruskeresési elemzéshez.

API-jának és integrációinak köszönhetően jó választás lehet olyan szervezetek, amelyek automatizálni szeretnék a higiéniát a bejövő fájlok (e-mailek, ügyfélportálok, belső átutalások) ellenőrzése, mielőtt azok elérnék a végfelhasználót.

Jotti kártevőirtója egyszerű alternatívaként

A VirusTotal-lal való közvetlen összehasonlításon túl a Jotti továbbra is kiváló eszköz a következők számára: gyors és ingyenes szkennelés lakossági környezetben vagy kisvállalkozásokban, amelyek nem igényelnek nagy telepítéseket.

Fő vonzereje a használata több víruskereső motor párhuzamosan futEz javítja az észlelési arányt ahhoz képest, mintha vakon egyetlen asztali termékre hagyatkoznánk, és olyan fenyegetéseket is feltárhat, amelyeket egyetlen keresőmotor nem észlelne.

Méretkorlátja (jelenleg legfeljebb 250 MB fájlonként, és lehetőség van 5 egyidejű küldéséreEzáltal a legtöbb gyakori esetben praktikus, a telepítőktől kezdve a tömörített fájlokon át a kissé nehézkes dokumentumokig.

A kezelőfelület megközelítése nagyon minimalista, a sima panel haladó beállítások nélkül Ez zavaró lehet. Ideális azok számára, akik feltöltenek egy fájlt, megtekintik a keresőmotorok listáját, és gyorsan eldöntik, hogy megbíznak-e a fájlban.

Elemzők vagy haladó felhasználók számára a Jotti jól működik második vagy harmadik ellenőrzési forrás a VirusTotal után, különösen olyan folyamatokban, ahol össze szeretné hasonlítani az eredményeket a különböző online szolgáltatások között.

VirSCAN.org

A VirSCAN.org egy másik klasszikus a több víruskeresőt tartalmazó webes szkennerekLehetővé teszi fájlok feltöltését, és különböző gyártók több motorjával ellenőrzi azokat, keresztmetszeti képet adva a lehetséges fertőzésekről.

Hosszú ideig sikerült neki egy 20 MB-os korlát fájlonkéntEz némileg konzervatívabb, mint Jotti jelenlegi adatai, de elegendő a legtöbb futtatható fájlhoz és Office-dokumentumhoz, amelyeket az elemzési forgatókönyvekben gyakran használnak.

A megközelítésük hasonló: menj fel, várd meg az eredményt, és ellenőrizd, melyik motor mit észlelKevésbé a rendkívül könnyen használhatóra összpontosít, inkább egy funkcionális és ingyenes szolgáltatásra, amely hasznos egy második vélemény elkészítéséhez.

Intezer Analyze

Az Intezer Analyze új megvilágításba helyezi a hagyományos megközelítést, és arra összpontosít, amit ők „Genetikai kód elemzés”Ahelyett, hogy kizárólag a víruskeresésre hagyatkozna, lebontja a fájlt, és összehasonlítja a kódrészleteket a rosszindulatú programok és a legitim szoftverek hatalmas adatbázisaival.

Ily módon képes arra, hogy kód újrafelhasználásának észlelése különböző kártevőcsaládokban, hasonlóságokat láthat a korábbi mintákkal, és csoportosíthatja a mintákat leszármazási vonalak szerint, ami rendkívül hasznos a kutatók és a hírszerző csapatok számára.

Az Intezer jelentései szerint a kód valószínűsíthető eredetének kontextusamely részek újak, melyek más trójaiakból vagy eszközökből származnak, és hogyan illeszkedik a minta az ismert kampányokba, megkönnyítve az attribúciós munkát.

Továbbá jól integrálható a következőkön keresztül: API-k a beküldések és korrelációk automatizálásáhozEzért ez egy hatékony alternatíva az üzleti és kutatási környezetek számára, amelyek túl akarnak lépni a tipikus „fertőzött/nem fertőzött” megközelítésen.

AlienVault (Kék szint)

Az AlienVault, amely most a Level Blue márkanév alatt működik, nem csupán egy kártevő-elemző eszköz, hanem egy egységes biztonsági platform amely több funkciót integrál egyetlen termékbe.

Javaslatuk a következőre összpontosul: Egységes biztonságkezelés (USM)SIEM, eszközfelderítés, sebezhetőség-vizsgálat és IDS, valamint kártevő-észlelés és eseménykorreláció kombinációja.

Az AlienVault egyik legfontosabb tulajdonsága a együttműködésen alapuló fenyegetésfelderítés, amelyet a közösség és kereskedelmi források táplálnak, és amelyet folyamatosan frissítenek a gyanús viselkedés és a folyamatban lévő kampányok azonosítása érdekében.

API-jának és más megoldásokkal való integrációjának köszönhetően vonzó alternatívát kínál olyan szervezetek, amelyek a rosszindulatú programokat csak a kirakós egy újabb darabjának szeretnék tekinteni egy teljes biztonsági keretrendszeren belül, nem pedig elszigetelt dologként.

MalwareBazar

A MalwareBazar, amelyet az abuse.ch és a Spamhaus működtet, egy együttműködési platform a kártevő minták megosztásához és letöltéséhezNagy hangsúlyt fektet a kutatókra, biztonsági gyártókra és olyan csapatokra, akiknek friss anyagokra van szükségük az elemzéseikhez.

Az egyik előnye más platformokkal szemben, hogy Számos belépési akadályt kiküszöböl.Nincsenek bonyolult regisztrációs követelmények vagy túlságosan szigorú letöltési korlátok, így a napi kutatási munka gördülékenyebb.

A platform a valós mintákra összpontosít, elkerülve jóindulatú fájlok, reklámprogramok vagy potenciálisan nemkívánatos programok hogy maximalizálja a megosztott tartalom értékét. Ez segíti azokat, akik kártevőcsaládokat, botneteket vagy konkrét kampányokat elemeznek.

A MalwareBazar egy API-t kínál, amely lehetővé teszi automatizálja a minták letöltését és integrálását elemzési folyamatokban, sandboxingban vagy intelligenciagazdagításban, valamint SIEM-mel és más megoldásokkal való integrációkban.

Vadászat.io

A Hunt.io inkább a következőkre irányul: fenyegetésvadászat és hírszerzés a rosszindulatú infrastruktúrán ahelyett, hogy maguknak a fájloknak az elemzésére összpontosítana. A hangsúly a domaineken, IP-címeken és hash-eken, valamint ezek egymáshoz való viszonyán van.

Az egyik fő jellemzője az, hogy C2 infrastruktúra betáplálás, amely nagyszabású internetes szkenneléseknek köszönhetően proaktívan azonosítja és validálja a parancs- és vezérlőszervereket, mielőtt azokat tömeges támadás érné.

A platform egy a veszélyeztetett szolgáltatások folyamatos monitorozása, tanúsítványokat, HTTP fejléceket és más külsőleg látható elemeket a rosszindulatú szereplők használati mintáinak észlelése érdekében.

Az olyan funkciókkal, mint az IOC Hunter, lehetővé teszi egy adott mutatóból kiindulva (egy domain, egy IP, egy hash) és fedezze fel a kapcsolódó infrastruktúrát: nyilvánosságra hozott könyvtárak, megosztott tanúsítványok, gyanús fejlécek stb.

Az OPSWAT MetaDefender Cloud, mint vadászeszköz

Amellett, hogy többmotoros szkennerként is működik, a MetaDefender Cloud jó helyzetben van, mint például fenyegetéskereső eszköz több biztonsági szolgáltatótól származó adatok, felhasználói visszajelzések és korrelációs képességek integrálásával.

A platform több mint 20 víruskereső motor és az elemzés egyéb rétegei a téves negatívok csökkentése, a válaszidők javítása és a riasztások rangsorolásának megkönnyítése érdekében vállalati környezetekben.

Együttműködő megközelítése, ahol a felhasználók Fájlok, IP-címek vagy domainek megjelölése és kommentálásaLehetővé teszi az észlelési algoritmusok folyamatos finomhangolását, és a rendszert a legújabb fenyegetésekkel összhangban tartja.

CAPE homokozó

A CAPE Sandbox (CAPEv2) a korábbi projektek, mint például a Cuckoo Sandbox továbbfejlesztése, és mára... Egy nagyon hatékony eszköz a dinamikus kártevő-elemzéshez, ideális laboratóriumok és reagáló csapatok számára.

Legnagyobb ereje az összefogásban rejlik statikus és dinamikus elemzés a belső konfigurációk kinyerésére, a rejtett hasznos adatok kicsomagolására és az olyan kijátszási technikák felfedezésére, amelyek a tisztán statikus elemzésekben gyakran észrevétlenek maradnak.

A CAPEv2 képes monitorozni API-hívások, hálózati forgalom, fájlrendszer-változások és memórianagyon részletes jelentéseket készít a rosszindulatú program viselkedéséről végrehajtás közben.

Tartalmaz egy tisztítórendszert is, amelyet a YARA szabályok és egyéb mechanizmusokamely segít a minták szembeszállásában homokozóellenes technikákkal vagy fejlettebb álcázási kísérletekkel.

AbuseIPDB

Az AbuseIPDB egy együttműködésen alapuló adatbázis IP-cím hírneve amely a világ minden tájáról származó felhasználók, vállalatok és automatizált szolgáltatások által benyújtott rosszindulatú tevékenységekről szóló jelentéseket gyűjt.

Bármely személy vagy rendszer képes Jelentse a támadásokat végrehajtó IP-címeketa nyers erő kísérletek, a spam, a visszaélésszerű szkennelések vagy más gyanús viselkedés, hozzájárulva az adatbázis minőségének javításához.

Ez a közösségi alapú megközelítés biztosítja az adatbázis fennmaradását nagyon naprakész a tényleges rosszindulatú tevékenységekkel kapcsolatban, túlmutat a laboratóriumban létrehozott egyszerű statikus listákon, és értékessé teszi a bejövő forgalom blokkolására vagy szűrésére.

Az API-ja megkönnyíti a reputációs információk integrálását a tűzfalak, SIEM, WAF vagy saját szkriptekhogy a blokkolásról vagy riasztásról szóló döntéseket az egyes IP-címek előzményeire vonatkozó gazdagított adatok támogassák.

A fentiek alapján a VirusTotal és a Jotti továbbra is két nagyon hasznos eszköz a fájlok specifikus elemzéséhez, de egy sokkal tágabb képbe illeszkednek, ahol a többmotoros szkennerek, a mintamegosztó platformok, a fejlett sandboxok és a rosszindulatú infrastruktúra-intelligencia kiegészítik egymást, hogy sokkal gazdagabb és hatékonyabb képet nyújtsanak a jelenlegi fenyegetésekről.