VirusTotal vs Jotti: perbandingan lengkap dan alternatif sebenar

Informatec Digital » Sumber » VirusTotal vs Jotti: perbandingan lengkap dan alternatif sebenar

Apabila kita bercakap tentang menganalisis fail yang mencurigakan untuk perisian hasadDua nama sentiasa muncul dalam perbualan: VirusTotal dan Jotti. Kedua-duanya merupakan perkhidmatan veteran, digunakan secara meluas oleh pengguna rumah dan juruteknik serta penganalisis keselamatan yang memerlukan pendapat kedua yang cepat mengenai fail yang dimuat turun dari Internet atau diterima melalui e-mel.

Walau bagaimanapun, walaupun pada pandangan pertama mereka mungkin kelihatan alat yang hampir samaRealitinya ialah terdapat perbezaan yang ketara dalam enjin antivirus, jenis imbasan, saiz fail maksimum, tahap perincian laporan, malah pendekatan perkhidmatan (lebih maju atau lebih ringkas). Tambahan pula, ekosistem telah berkembang, dan hari ini terdapat banyak alternatif yang perlu diterokai untuk mengelakkan bergantung pada satu platform sahaja.

Mengapa pengimbas dalam talian masih berguna

Dalam sistem seperti Windows, mempunyai Antivirus pemastautin dipasang dan dikemas kini Ia bukan pilihan, ia satu keperluan. Malah, Microsoft sendiri mengintegrasikan Windows Defender ke dalam sistem, yang menawarkan perlindungan masa nyata asas tanpa sebarang tindakan lanjut yang diperlukan daripada pihak kami.

Walaupun begitu, ramai pengguna masih tidak mempercayai Windows Defender dan memilih untuk penyelesaian keselamatan pihak ketiga daripada jenama terkenal yang telah berada di pasaran selama bertahun-tahun. Antivirus utama ini biasanya memantau komputer di latar belakang, tetapi kita tidak selalu mahu memasang program lain hanya untuk menyemak fail tertentu.

Dalam kehidupan seharian, adalah sangat praktikal untuk dapat melakukan Analisis atas permintaan satu atau lebih fail terus dari penyemak imbastanpa pemasangan dan tanpa menyentuh tetapan sistem. Di sinilah perkhidmatan seperti VirusTotal atau Jotti digunakan, membolehkan anda memuat naik fail dan menyemaknya terhadap beberapa enjin antivirus sekaligus.

Selain imbasan berjadual antivirus, adalah dinasihatkan untuk melakukan imbasan secara berkala. pemeriksaan PC yang lebih telitiTetapi apabila apa yang membimbangkan kita ialah fail tertentu (lampiran, fail boleh laku yang dimuat turun, dokumen yang meragukan), pengimbas dalam talian ini menawarkan pendapat kedua yang cepat dan sangat mudah.

Apakah VirusTotal dan bagaimana ia berfungsi?

Selama bertahun-tahun, VirusTotal telah menjadi rujukan dunia dalam analisis fail dan URL Daripada web. Ia tergolong dalam ekosistem Google dan disepadukan ke dalam semua jenis aliran kerja: daripada pengguna memuat naik satu fail kepada pasukan SOC yang mengautomasikan pertanyaan melalui API.

Kekuatan terbesar VirusTotal ialah Ia menggabungkan lebih daripada 70 enjin antivirus dan alat keselamatan untuk menganalisis item yang dihantar. Iaitu, ia tidak terhad kepada satu penyelesaian sahaja, tetapi ia menguji fail, URL, domain atau alamat IP terhadap pelbagai teknologi bebas untuk meningkatkan peluang pengesanan.

Bagi pengguna, prosesnya sangat mudah: hanya muat naik fail atau tampal URL, domain, IP atau hashTunggu beberapa saat dan semak laporan terperinci yang menunjukkan enjin mana yang menandakannya sebagai berniat jahat, enjin mana yang menganggapnya bersih dan jenis ancaman, jika ada, yang telah dikesan.

Satu lagi ciri yang sangat hebat ialah pangkalan data sampel sejarah yang besarVirusTotal menyimpan dan menyusun fail yang dianalisis, membolehkan anda merujuk sampel lama untuk melihat bagaimana pengesanan telah berkembang dan maklumat tambahan yang telah dijana dari semasa ke semasa.

Platform ini juga menampilkan komuniti yang sangat aktif yang mengulas, menanda dan memperkayakan sampel dengan konteks: keluarga perisian hasad, kempen yang diketahui, penunjuk berkaitan dan sebagainya. Aspek kolaboratif ini menambah nilai tambahan yang sangat besar kepada laporan.

Kelemahannya, versi percuma mempunyai had saiz fail yang boleh dimuat naik dan digunakan dalam API. Satu lagi perkara sensitif ialah privasi: ramai pengguna tidak berasa selesa memuat naik fail sensitif mengetahui bahawa ia boleh dikongsi dengan komuniti dan syarikat keselamatan.

Apakah Jotti dan apakah perbezaannya dengan VirusTotal?

Imbasan perisian hasad Jotti ialah perkhidmatan web yang lebih mudah, direka untuk mereka yang mahukan semak fail dengan cepat Tanpa merumitkan keadaan. Konsepnya serupa: anda memuat naik fail dan ia dianalisis dengan beberapa enjin antivirus secara selari.

Menurut maklumat perkhidmatan itu sendiri, Jotti membenarkan Muat naik sehingga 5 fail sekaligusDengan saiz fail maksimum 250 MB dalam konfigurasi terkininya (beberapa perbandingan lama menyebut 20 MB, tetapi had semasa jauh lebih besar), ini menjadikannya praktikal untuk dokumen bersaiz sederhana, fail boleh laku atau program pemampatan.

Bilangan enjin jauh lebih rendah berbanding VirusTotal: Jotti berfungsi dengan antara 15 dan 20 program antivirus yang berbezayang dalam praktiknya masih merupakan "pendapat kedua" yang baik, tetapi jelas menawarkan kurang kepelbagaian berbanding lebih daripada 70 daripada VirusTotal.

Salah satu kelebihannya ialah antara muka: Jotti menonjol kerana Penyampaian yang sangat bersih dan terus terangSesuai untuk pengguna bukan teknikal yang hanya ingin tahu sama ada fail "berbau mencurigakan" atau tidak. Laporan ini lebih pendek dan kurang membebankan berbanding VirusTotal.

Walau bagaimanapun, perkhidmatan ini tertumpu secara eksklusif kepada menganalisis fail longgarIa tidak membenarkan pengimbasan URL, domain atau alamat IP, sesuatu yang merupakan sebahagian daripada rutin harian VirusTotal untuk penganalisis dan pentadbir.

Perkhidmatan itu sendiri memberi amaran bahawa, walaupun ia menggunakan beberapa enjin, Tiada perlindungan 100%Di samping itu, semua fail yang dihantar dikongsi dengan syarikat antivirus yang mengambil bahagian untuk menambah baik tandatangan dan mekanisme pengesanan mereka, satu perkara yang perlu dipertimbangkan jika anda mengendalikan kandungan yang sangat sensitif.

Persamaan antara VirusTotal dan Jotti

Dari perspektif pengguna biasa, VirusTotal dan Jotti berkongsi beberapa ciri asas yang menjelaskan mengapa ia sering disebut bersama semasa membincangkan pengimbas perisian hasad dalam talian.

Pertama sekali, kedua-duanya adalah perkhidmatan percuma yang boleh diakses daripada pelayar andaTiada penciptaan akaun diperlukan untuk kegunaan asas, dan perisian tambahan juga tidak dipasang. Cuma lawati laman web, pilih fail dan tunggu hasilnya.

Kedua-duanya berdasarkan idea menggunakan pelbagai enjin antivirus pada masa yang sama untuk meningkatkan kemungkinan mengesan ancaman. Daripada bergantung pada pendapat seorang vendor, mereka menawarkan sejenis "undian" antara beberapa enjin.

Mereka juga bersetuju bahawa mereka alat analitik atas permintaanIa bukanlah pengganti perisian antivirus desktop. Ia tidak menyediakan perlindungan masa nyata, menyekat muat turun atau memantau proses; ia hanya mengimbas apa yang anda hantar secara manual.

Kedua-dua VirusTotal dan Jotti telah menawarkan atau terus menawarkan pelanggan desktop Untuk memudahkan penghantaran fail tanpa perlu membuka pelayar, sesuatu yang berguna bagi mereka yang kerap menganalisis fail dan tidak mahu mengulangi proses manual yang sama setiap kali.

Perbezaan utama: Di manakah VirusTotal menang dan di manakah Jotti lebih meyakinkan?

Walaupun konsepnya serupa, apabila membandingkan VirusTotal vs Jotti, perbezaan penting muncul dalam enjin, pilihan analisis dan tahap perincian, menjadikan setiap satunya lebih sesuai untuk jenis pengguna tertentu.

Perbezaan utama yang pertama terletak pada bilangan dan pelbagai enjin antivirusUjian perbandingan menunjukkan bahawa walaupun Jotti menggunakan sekitar 19 enjin, VirusTotal menggunakan 40, 50 atau lebih bergantung pada era, termasuk penyelesaian popular seperti McAfee, Symantec atau Trend Micro yang tidak digabungkan oleh Jotti.

Satu lagi bidang di mana VirusTotal mempunyai kelebihan adalah dalam pilihan pengimbasanIa tidak terhad kepada fail: ia juga membolehkan anda menganalisis URL, domain, alamat IP, hash dan juga mengekstrak maklumat tingkah laku, yang sangat berguna untuk menyemak pautan sebelum memuat turunnya. lawati laman web yang berpotensi berbahaya.

Dari segi keselamatan sambungan itu sendiri, VirusTotal menawarkan muat naik fail menggunakan SSL untuk menyulitkan pemindahan semasa analisis. Jotti, dalam kebanyakan peringkatnya, tidak mempunyai tahap pilihan yang boleh dilihat itu, yang mungkin membimbangkan pengguna yang sangat melindungi kerahsiaan apa yang mereka muat naik.

Sebaliknya, Jotti memperoleh mata tepat kerana dia kesederhanaan dan kejelasanIa tidak membebankan anda dengan berpuluh-puluh tab, penunjuk atau metrik lanjutan; ia memberi tumpuan kepada menunjukkan enjin mana yang menandakan fail tersebut sebagai mencurigakan dan sedikit lagi, sesuatu yang ramai akan hargai jika mereka hanya mahukan jawapan yang cepat.

Pelbagai analisis perbandingan biasanya menyimpulkan bahawa, jika apa yang anda cari ialah liputan maksimum dan fleksibilitiVirusTotal menang dengan margin yang besar. Sebaliknya, Jotti berada pada kedudukan yang baik sebagai perkhidmatan pelengkap, pendapat kedua yang cepat selepas menjalankan VirusTotal atau menggunakan antivirus tempatan anda.

VirusTotal selepas penyepaduannya ke dalam Google Threat Intelligence

Dalam beberapa tahun kebelakangan ini, landskap telah berubah untuk pengguna profesional VirusTotal, memandangkan perkhidmatan ini semakin bersepadu dalam Perisikan Ancaman Google (GTI), rangkaian produk perisikan siber Google yang disasarkan kepada perniagaan.

Dengan integrasi ini, banyak ciri yang sebelum ini tersedia dalam tahap bebas atau pertengahan Mereka telah beralih kepada model pembayaran yang lebih tinggi dan pelbagai profesional telah mengulas dalam forum khusus tentang kenaikan harga yang ketara untuk akses lanjutan kepada data dan laporan.

Perubahan ini berlaku pada saat yang sangat sensitif, dengan peningkatan berterusan dalam kelemahan dan ancamanLaporan risikan ancaman telah menganggarkan peningkatan lebih daripada 15% dalam CVE yang didedahkan berbanding tahun-tahun sebelumnya, yang memerlukan lebih banyak data, lebih banyak konteks dan lebih banyak automasi.

Bagi kebanyakan pasukan keselamatan siber, pemburu ancaman dan SOC, hanya berlindung di muat naik komuniti dan pengesanan antivirus Dalam VirusTotal, ia tidak lagi mencukupi, dan juga tidak selalunya kos efektif jika anda ingin mendalami menggunakan API lanjutan.

Semua ini telah mendorong pencarian alternatif praktikal dan pelengkap yang memenuhi keperluan risikan ancaman, korelasi penunjuk dan automasi tanpa bergantung 100% pada ekosistem VirusTotal/GTI.

Alternatif hebat untuk VirusTotal (selain Jotti)

Walaupun Jotti merupakan alternatif yang menarik untuk kegunaan sekali-sekala, terdapat pelbagai jenis platform yang merangkumi aspek-aspek tertentu analisis perisian hasad, perkongsian sampel, reputasi IP atau pemetaan infrastruktur berniat jahat semuanya patut dipertimbangkan.

Awan Metadefender (OPSWAT)

Metadefender Cloud, daripada OPSWAT, ialah penyelesaian awan yang bukan sahaja menawarkan Analisis berbilang enjin gaya VirusTotaltetapi menambah lapisan tambahan yang tertumpu pada pencegahan, seperti pembasmian kuman dan sanitasi fail.

Perkhidmatan ini membenarkan pengimbasan fail, URL, alamat IP dan hash Dengan lebih 20-30 enjin antivirus, yang mencari ancaman yang diketahui dan tingkah laku yang mencurigakan, ideanya adalah untuk memaksimumkan pengesanan dengan menggabungkan teknologi yang berbeza.

Ciri bintangnya ialah Perlucutan dan Pembinaan Semula Kandungan (CDR)Ia mengambil fail, mengalih keluar bahagian yang berpotensi berbahaya (makro, skrip, kandungan terbenam) dan menjana versi "bersih" yang boleh digunakan, walaupun dalam kes di mana perisian hasad belum dikenal pasti secara eksplisit.

Metadefender Cloud juga menawarkan pengimbasan kerentanan dalam failContohnya, dengan mengesan pustaka atau komponen yang ketinggalan zaman dengan eksploitasi yang diketahui, yang menambah lapisan keselamatan tambahan kepada analisis antivirus semata-mata.

Disebabkan API dan integrasinya, ia merupakan pilihan yang baik untuk organisasi yang ingin mengautomasikan sanitasi fail masuk (e-mel, portal pelanggan, pemindahan dalaman) sebelum ia sampai kepada pengguna akhir.

Imbasan Perisian Hasad Jotti sebagai alternatif mudah

Selain perbandingan langsung dengan VirusTotal, Jotti kekal sebagai aset yang sangat baik untuk imbasan pantas dan percuma dalam persekitaran domestik atau perniagaan kecil yang tidak memerlukan penggunaan yang besar.

Daya tarikan utamanya ialah penggunaan berbilang enjin antivirus berjalan secara selariIni meningkatkan kadar pengesanan berbanding bergantung secara membuta tuli pada satu produk desktop dan boleh mendedahkan ancaman yang akan terlepas pandang oleh satu enjin.

Had saiznya (kini sehingga 250 MB setiap fail dan dengan kemungkinan menghantar 5 sekaligusIni menjadikannya praktikal untuk kebanyakan kes biasa, daripada pemasang hingga fail termampat atau dokumen yang agak berat.

Pendekatan antara muka adalah sangat minimalis, dengan panel biasa tanpa pilihan lanjutan itu mungkin mengelirukan. Ia sesuai untuk mereka yang ingin memuat naik fail, melihat senarai enjin dan memutuskan dengan cepat sama ada mereka mempercayai fail tersebut atau tidak.

Bagi penganalisis atau pengguna lanjutan, Jotti berfungsi dengan baik sumber pengesahan kedua atau ketiga selepas VirusTotal, terutamanya dalam proses di mana anda ingin membandingkan hasil antara perkhidmatan dalam talian yang berbeza.

VirSCAN.org

VirSCAN.org merupakan satu lagi karya klasik pengimbas berbilang antivirus di webIa membolehkan anda memuat naik fail dan menyemaknya dengan beberapa enjin daripada pengeluar yang berbeza, memberikan pandangan keratan rentas kemungkinan jangkitan.

Untuk masa yang lama dia telah menguruskan Had 20 MB setiap failIni agak lebih konservatif daripada angka semasa Jotti, tetapi mencukupi untuk kebanyakan fail boleh laku dan dokumen pejabat yang biasa digunakan dalam senario analisis.

Pendekatan mereka adalah serupa: naik, tunggu keputusan dan periksa motor mana yang mengesan apaIa kurang memberi tumpuan kepada kebolehgunaan ultra dan lebih kepada menawarkan perkhidmatan yang berfungsi dan percuma yang berguna untuk pendapat kedua.

Analisis Intezer

Intezer Analyze memberikan sentuhan baharu pada pendekatan tradisional dan memberi tumpuan kepada apa yang mereka panggil "analisis kod genetik"Daripada hanya bergantung pada imbasan antivirus, ia memecahkan fail dan membandingkan serpihan kod dengan pangkalan data perisian hasad yang besar dan perisian yang sah.

Dengan cara ini, ia mampu mengesan penggunaan semula kod merentasi pelbagai keluarga perisian hasad, lihat persamaan dengan sampel sebelumnya dan sampel kumpulan mengikut keturunan, sesuatu yang sangat berguna untuk penyelidik dan pasukan perisikan.

Laporan Intezer menyediakan konteks tentang kemungkinan asal usul kod tersebutbahagian yang baharu, yang diambil daripada Trojan atau alatan lain dan bagaimana sampel tersebut sesuai dengan kempen yang diketahui, memudahkan kerja atribusi.

Tambahan pula, ia berintegrasi dengan baik melalui API untuk mengautomasikan penyerahan dan korelasiOleh itu, ia merupakan alternatif yang ampuh untuk persekitaran perniagaan dan penyelidikan yang ingin melangkaui "dijangkiti/tidak dijangkiti" yang biasa.

AlienVault (Biru Aras)

AlienVault, kini di bawah jenama Level Blue, bukan sekadar alat analisis malware, tetapi juga platform keselamatan bersepadu yang menggabungkan pelbagai keupayaan ke dalam satu produk.

Cadangan mereka berkisar tentang Pengurusan Keselamatan Bersepadu (USM)Menggabungkan SIEM, penemuan aset, pengimbasan kerentanan dan IDS, serta pengesanan perisian hasad dan korelasi peristiwa.

Salah satu ciri utama AlienVault ialah risikan ancaman kolaboratif, yang disediakan oleh komuniti dan sumber komersial, yang sentiasa dikemas kini untuk mengenal pasti tingkah laku yang mencurigakan dan kempen yang sedang dijalankan.

Disebabkan API dan keupayaannya untuk disepadukan dengan penyelesaian lain, ia merupakan alternatif yang menarik untuk organisasi yang ingin melihat perisian hasad sebagai satu lagi bahagian teka-teki dalam rangka kerja keselamatan yang lengkap, bukan sebagai sesuatu yang terasing.

MalwareBazar

MalwareBazar, dikuasakan oleh abuse.ch dan Spamhaus, ialah platform kolaboratif untuk berkongsi dan memuat turun sampel perisian hasadIa sangat ditujukan kepada penyelidik, pengeluar keselamatan dan pasukan yang memerlukan bahan baharu untuk analisis mereka.

Salah satu kelebihannya berbanding platform lain ialah Ia menghapuskan banyak halangan untuk masuk.Tiada keperluan pendaftaran yang kompleks atau had muat turun yang terlalu ketat, menjadikan kerja penyelidikan harian lebih lancar.

Platform ini memberi tumpuan kepada sampel sebenar, mengelakkan fail jinak, adware atau PUP untuk memaksimumkan nilai apa yang dikongsi. Ini membantu mereka yang menganalisis keluarga perisian hasad, botnet atau kempen tertentu.

MalwareBazar menawarkan API yang membolehkan mengautomasikan muat turun dan penyepaduan sampel dalam aliran analisis, sandboxing atau pengayaan kecerdasan, serta penyepaduan dengan SIEM dan penyelesaian lain.

Hunt.io

Hunt.io lebih menjurus ke arah pemburuan ancaman dan risikan mengenai infrastruktur berniat jahat bukannya analisis fail itu sendiri. Tumpuannya adalah pada domain, IP dan hash serta bagaimana ia berkaitan antara satu sama lain.

Salah satu ciri utamanya ialah Suapan infrastruktur C2, yang secara proaktif mengenal pasti dan mengesahkan pelayan arahan dan kawalan sebelum ia dieksploitasi secara besar-besaran, hasil daripada imbasan Internet berskala besar.

Platform melakukan a pemantauan berterusan terhadap perkhidmatan yang terdedah, sijil, pengepala HTTP dan elemen lain yang kelihatan secara luaran untuk mengesan corak penggunaan oleh pelaku yang berniat jahat.

Dengan ciri-ciri seperti IOC Hunter, ia membolehkan bermula daripada penunjuk tertentu (domain, IP, hash) dan terokai infrastruktur berkaitan: direktori terdedah, sijil kongsi, pengepala yang mencurigakan, dsb.

OPSWAT MetaDefender Cloud sebagai alat pemburuan

Selain keupayaannya sebagai pengimbas berbilang enjin, MetaDefender Cloud berada pada kedudukan yang baik sebagai alat pemburuan ancaman dengan mengintegrasikan data daripada pelbagai penyedia keselamatan, maklum balas pengguna dan keupayaan korelasi.

Platform ini memanfaatkan lebih daripada 20 enjin antivirus dan lapisan analisis lain untuk mengurangkan negatif palsu, meningkatkan masa tindak balas dan memudahkan pengutamaan amaran dalam persekitaran korporat.

Pendekatan kolaboratifnya, di mana pengguna boleh Menanda dan mengulas pada fail, IP atau domainIa membolehkan penalaan halus algoritma pengesanan yang berterusan dan memastikan sistem sejajar dengan ancaman terkini.

Kotak Pasir CAPE

CAPE Sandbox (CAPEv2) ialah evolusi projek terdahulu seperti Cuckoo Sandbox dan telah menjadi Alat yang sangat berkuasa untuk analisis perisian hasad dinamik, sesuai untuk makmal dan pasukan tindak balas.

Kekuatan terbesarnya terletak pada penggabungan analisis statik dan dinamik untuk mengekstrak konfigurasi dalaman, membongkar muatan tersembunyi dan menemui teknik pengelakan yang sering tidak disedari dalam analisis statik semata-mata.

CAPEv2 mampu memantau Panggilan API, trafik rangkaian, perubahan sistem fail dan memorimenjana laporan yang sangat terperinci tentang tingkah laku perisian hasad semasa pelaksanaan.

Ia juga merangkumi sistem penulenan yang dipandu oleh Peraturan YARA dan mekanisme lainyang membantu untuk berhadapan dengan sampel dengan teknik anti-kotak pasir atau percubaan penyamaran yang lebih maju.

PenyalahgunaanIPDB

AbuseIPDB ialah pangkalan data kolaboratif bagi Reputasi alamat IP yang mengumpul laporan aktiviti berniat jahat yang dikemukakan oleh pengguna, syarikat dan perkhidmatan automatik dari seluruh dunia.

Mana-mana orang atau sistem boleh Laporkan IP yang sedang menjalankan seranganpercubaan kekerasan, spam, imbasan kesat atau tingkah laku mencurigakan yang lain, yang menyumbang kepada peningkatan kualiti pangkalan data.

Pendekatan berasaskan komuniti ini memastikan pangkalan data kekal sangat terkini dengan aktiviti berniat jahat yang sebenar, melangkaui senarai statik mudah yang dicipta di makmal dan menjadikannya berharga untuk menyekat atau menapis trafik masuk.

APInya memudahkan untuk mengintegrasikan risikan reputasi ini ke dalam tembok api, SIEM, WAF atau skrip sendirisupaya keputusan menyekat atau memberi amaran boleh disokong oleh data yang diperkaya tentang sejarah setiap alamat IP.

Memandangkan semua perkara di atas, VirusTotal dan Jotti kekal sebagai dua alat yang sangat berguna untuk analisis fail khusus, tetapi ia sesuai dengan gambaran yang lebih luas di mana pengimbas berbilang enjin, platform perkongsian sampel, kotak pasir canggih dan risikan infrastruktur berniat jahat saling melengkapi untuk menawarkan pandangan yang lebih kaya dan lebih boleh diambil tindakan tentang ancaman semasa.