VirusTotal vs Jotti: en komplett sammenligning og reelle alternativer

Informatec Digital » Ressurser » VirusTotal vs Jotti: en komplett sammenligning og reelle alternativer

Når vi snakker om analyser mistenkelige filer for skadelig programvareTo navn dukker alltid opp i samtaler: VirusTotal og Jotti. De er veterantjenester, mye brukt av både hjemmebrukere og sikkerhetsteknikere og -analytikere som trenger en rask second opinion på en fil lastet ned fra Internett eller mottatt via e-post.

Men selv om de ved første øyekast kan virke nesten identiske verktøyRealiteten er at det er betydelige forskjeller i antivirusmotorer, skannetyper, maksimal filstørrelse, rapportdetaljnivå og til og med tjenestens tilnærming (mer avansert eller enklere). Videre har økosystemet vokst, og i dag finnes det mange alternativer som er verdt å utforske for å unngå å være avhengig av én enkelt plattform.

Hvorfor nettbaserte skannere fortsatt er nyttige

I systemer som Windows, å ha en Resident antivirus installert og oppdatert Det er ikke valgfritt, det er en nødvendighet. Faktisk integrerer Microsoft selv Windows Defender i systemet, som tilbyr grunnleggende sanntidsbeskyttelse uten at vi trenger å gjøre noe mer.

Likevel har mange brukere fortsatt en viss mistillit til Windows Defender og velger tredjeparts sikkerhetsløsninger fra etablerte merker som har vært på markedet i årevis. Dette hovedantivirusprogrammet overvåker vanligvis datamaskinen i bakgrunnen, men vi ønsker ikke alltid å installere et annet program bare for å sjekke en bestemt fil.

I hverdagen er det veldig praktisk å kunne gjøre en Analyse av én eller flere filer på forespørsel direkte fra nettleserenuten installasjon og uten å berøre systeminnstillingene. Det er her tjenester som VirusTotal eller Jotti kommer inn i bildet, slik at du kan laste opp en fil og sjekke den mot flere antivirusmotorer samtidig.

I tillegg til antivirusprogrammets planlagte skanninger, anbefales det å utføre en skanning med jevne mellomrom. grundigere PC-sjekkMen når det som bekymrer oss er en spesifikk fil (et vedlegg, en nedlastet kjørbar fil, et tvilsomt dokument), tilbyr disse nettskannerne en rask og veldig praktisk ny vurdering.

Hva er VirusTotal, og hvordan fungerer det?

Gjennom årene har VirusTotal blitt verdensreferansen innen fil- og URL-analyse Fra nettet. Den tilhører Googles økosystem og integreres i alle slags arbeidsflyter: fra brukere som laster opp en enkelt fil til SOC-team som automatiserer spørringer via API.

VirusTotals største styrke er at Den kombinerer mer enn 70 antivirusmotorer og sikkerhetsverktøy å analysere det innsendte elementet. Det vil si at den ikke er begrenset til én enkelt løsning, men snarere tester den filen, URL-en, domenet eller IP-adressen mot et bredt spekter av uavhengige teknologier for å øke sjansene for oppdagelse.

For brukeren er prosessen veldig enkel: bare last opp filen eller lim inn URL, domene, IP eller hashVent noen sekunder og se gjennom en detaljert rapport som viser hvilke motorer som markerer den som skadelig, hvilke som anser den som ren, og hvilken type trussel, om noen, som er oppdaget.

En annen veldig kraftig funksjon er dens enorm historisk database med prøverVirusTotal lagrer og organiserer de analyserte filene, slik at du kan se gamle prøver for å se hvordan deteksjonene har utviklet seg og hvilken tilleggsinformasjon som har blitt generert over tid.

Plattformen har også en veldig aktivt fellesskap som kommenterer, tagger og beriker eksemplene med kontekst: skadevarefamilier, kjente kampanjer, relaterte indikatorer osv. Dette samarbeidsaspektet gir rapportene enorm ekstraverdi.

På minussiden har gratisversjonen begrensninger på filstørrelse som kan lastes opp og i bruk av API-et. Et annet sensitivt punkt er personvern: mange brukere føler seg ikke komfortable opplasting av sensitive filer vel vitende om at de kan deles med samfunnet og med sikkerhetsselskaper.

Hva er Jotti, og hvordan skiller det seg fra VirusTotal?

Jottis skadevareskanning er en mye enklere nettjeneste, designet for de som ønsker raskt sjekke en fil Uten å komplisere ting. Konseptet er likt: du laster opp en fil, og den analyseres parallelt med flere antivirusmotorer.

Ifølge tjenestens egne opplysninger tillater Jotti Last opp opptil 5 filer samtidigMed en maksimal filstørrelse på 250 MB i den nyeste konfigurasjonen (noen eldre sammenligninger nevnte 20 MB, men den nåværende grensen er betydelig mer generøs), gjør dette den praktisk for mellomstore dokumenter, kjørbare filer eller komprimeringsprogrammer.

Antall motorer er betydelig lavere enn i VirusTotal: Jotti fungerer med mellom 15 og 20 forskjellige antivirusprogrammersom i praksis fortsatt er en god «second opinion», men åpenbart tilbyr mindre mangfold enn de mer enn 70 fra VirusTotal.

En av fordelene er grensesnittet: Jotti skiller seg ut for en Veldig ren og direkte presentasjonIdeelt for ikke-tekniske brukere som bare vil vite om en fil "lukter mistenkelig" eller ikke. Rapporten er kortere og mindre overveldende enn VirusTotals.

Tjenesten er imidlertid utelukkende fokusert på analysere løse filerDen tillater ikke skanning av URL-er, domener eller IP-adresser, noe som er en del av den daglige rutinen med VirusTotal for analytikere og administratorer.

Tjenesten advarer selv om at selv om den bruker flere motorer, Det finnes ingen 100 % beskyttelseI tillegg deles alle innsendte filer med deltakende antivirusselskaper for å forbedre signaturene og deteksjonsmekanismene deres, noe du bør vurdere hvis du håndterer svært sensitivt innhold.

Likheter mellom VirusTotal og Jotti

Fra gjennomsnittsbrukerens perspektiv deler VirusTotal og Jotti en rekke grunnleggende egenskaper som forklarer hvorfor de ofte nevnes sammen når man diskuterer nettbaserte skadevareskannere.

Først og fremst er begge gratis tjenester tilgjengelig fra nettleseren dinDet kreves ingen kontooppretting for grunnleggende bruk, og det er heller ikke installert ekstra programvare. Bare besøk nettstedet, velg filen og vent på resultatet.

Begge er basert på ideen om bruke flere antivirusmotorer samtidig for å øke sannsynligheten for å oppdage trusler. I stedet for å stole på meningene til én enkelt leverandør, tilbyr de en slags «avstemning» blant flere motorer.

De er også enige om at de er analyseverktøy på forespørselDe erstatter ikke antivirusprogramvare for stasjonære datamaskiner. De gir ikke sanntidsbeskyttelse, blokkerer ikke nedlastinger eller overvåker prosesser; de skanner bare det du sender dem manuelt.

Både VirusTotal og Jotti har tilbudt eller fortsetter å tilby skrivebordsklienter For å gjøre det enklere å sende filer uten å måtte åpne nettleseren, noe som er nyttig for de som analyserer filer ofte og ikke ønsker å gjenta den samme manuelle prosessen hver gang.

Viktige forskjeller: Hvor vinner VirusTotal, og hvor er Jotti mer overbevisende?

Selv om konseptet er likt, viser det seg viktige forskjeller i motorer, analysealternativer og detaljnivå når man sammenligner VirusTotal med Jotti, noe som gjør at hver enkelt passer bedre for en bestemt type bruker.

Den første store forskjellen ligger i antall og variasjon av antivirusmotorerSammenlignende tester har vist at mens Jotti brukte rundt 19 søkemotorer, nådde VirusTotal 40, 50 eller flere avhengig av tidsepoken, inkludert populære løsninger som McAfee, Symantec eller Trend Micro som Jotti ikke bruker.

Et annet område der VirusTotal har en fordel er innen skannealternativerDet er ikke begrenset til filer: det lar deg også analysere URL-er, domener, IP-adresser, hash-koder og til og med trekke ut atferdsinformasjon, noe som er veldig nyttig for å sjekke lenker før du laster dem ned. besøke potensielt farlige nettsteder.

Når det gjelder sikkerheten til selve forbindelsen, tilbyr VirusTotal filopplasting med SSL å kryptere overføringen under analysen. Jotti har i mange av sine stadier ikke hatt det nivået av synlige alternativer, noe som kan bekymre brukere som er veldig beskyttende når det gjelder konfidensialiteten til det de laster opp.

På den annen side får Jotti poeng nettopp på grunn av sin enkelhet og klarhetDen overvelder deg ikke med dusinvis av faner, indikatorer eller avanserte målinger; den fokuserer på å vise hvilke motorer som markerer filen som mistenkelig og lite annet, noe mange vil sette pris på hvis de bare vil ha et raskt svar.

Ulike sammenlignende analyser konkluderer vanligvis med at hvis det du leter etter er maksimal dekning og allsidighetVirusTotal vinner med god margin. Jotti, derimot, er godt posisjonert som en komplementær tjeneste, en rask second opinion etter å ha kjørt VirusTotal eller brukt ditt lokale antivirusprogram.

VirusTotal etter integreringen i Google Threat Intelligence

De siste årene har landskapet endret seg for profesjonelle brukere av VirusTotal, ettersom tjenesten har blitt stadig mer integrert i Googles trusselinformasjon (GTI), Googles serie med bedriftsorienterte cybertelligensprodukter.

Med denne integrasjonen blir mange av funksjonene som tidligere var tilgjengelige i gratis eller mellomnivåer De har gått over til høyere betalingsmodeller, og diverse fagfolk har kommentert i spesialiserte fora om betydelige prisøkninger for avansert tilgang til data og rapporter.

Dette skiftet kommer på et spesielt delikat tidspunkt, med en konstant økning i sårbarheter og truslerTrusseletterretningsrapporter har anslått en økning på mer enn 15 % i avslørte CVE-er sammenlignet med tidligere år, noe som krever mer data, mer kontekst og mer automatisering.

For mange cybersikkerhetsteam, trusseljegere og SOC-er, søker de kun tilflukt i opplastinger fra fellesskapet og antivirusdeteksjoner Innenfor VirusTotal er det ikke lenger tilstrekkelig, og det er heller ikke alltid kostnadseffektivt hvis du vil gå dypere inn i det ved hjelp av avanserte API-er.

Alt dette har ansporet søket etter praktiske og komplementære alternativer som oppfyller behov for trusselinformasjon, indikatorkorrelasjon og automatisering uten å være 100 % avhengige av VirusTotal/GTI-økosystemet.

Kraftige alternativer til VirusTotal (utover Jotti)

Selv om Jotti er et interessant alternativ for sporadisk bruk, finnes det en hel rekke plattformer som dekker spesifikke aspekter Analyse av skadevare, deling av prøver, kartlegging av IP-adresser eller kartlegging av skadelig infrastruktur er alle verdt å vurdere.

Metadefender Cloud (OPSWAT)

Metadefender Cloud, fra OPSWAT, er en skyløsning som ikke bare tilbyr VirusTotal-stil flermotoranalysemen legger til ekstra lag med fokus på forebygging, som desinfeksjon og filsanering.

Tjenesten tillater skanning filer, URL-er, IP-adresser og hasher Med over 20–30 antivirusmotorer, som søker etter både kjente trusler og mistenkelig atferd, er ideen å maksimere deteksjonen ved å kombinere ulike teknologier.

Dens stjernetrekk er Innholdsavvæpning og rekonstruksjon (CDR)Den tar en fil, fjerner potensielt farlige deler (makroer, skript, innebygd innhold) og genererer en brukbar «ren» versjon, selv i tilfeller der skadelig programvare ennå ikke er eksplisitt identifisert.

Metadefender Cloud tilbyr også sårbarhetsskanning i filerFor eksempel ved å oppdage utdaterte biblioteker eller komponenter med kjente utnyttelser, noe som legger til et ekstra sikkerhetslag til ren antivirusanalyse.

Takket være API-et og integrasjonene er det et godt alternativ for organisasjoner som ønsker å automatisere sanitæranlegg av innkommende filer (e-post, kundeportaler, interne overføringer) før de når sluttbrukeren.

Jottis skadevareskanning som et enkelt alternativ

Utover den direkte sammenligningen med VirusTotal, er Jotti fortsatt en utmerket ressurs for raske og gratis skanninger i hjemmemiljøer eller små bedrifter som ikke krever store utplasseringer.

Hovedappellen er bruken av flere antivirusmotorer som kjører paralleltDette forbedrer deteksjonsraten sammenlignet med å blindt stole på ett enkelt skrivebordsprodukt, og kan avdekke trusler som en enkelt motor ville overse.

Størrelsesgrensen (for tiden opptil 250 MB per fil og med mulighet for å sende 5 samtidigDette gjør det praktisk for de fleste vanlige tilfeller, fra installasjonsprogrammer til komprimerte filer eller noe tunge dokumenter.

Grensesnitttilnærmingen er svært minimalistisk, med en vanlig panel uten avanserte alternativer Det kan være forvirrende. Det er ideelt for de som vil laste opp en fil, se en liste over søkemotorer og raskt avgjøre om de stoler på filen eller ikke.

For analytikere eller avanserte brukere fungerer Jotti bra som andre eller tredje verifiseringskilde etter VirusTotal, spesielt i prosesser der du vil sammenligne resultater mellom ulike nettjenester.

VirSCAN.org

VirSCAN.org er en annen klassiker av multi-antivirusskannere på nettetDen lar deg laste opp filer og sjekke dem med flere motorer fra forskjellige produsenter, noe som gir et tverrsnittsbilde av mulige infeksjoner.

I lang tid har han klart en 20 MB grense per filDette er noe mer konservativt enn Jottis nåværende tall, men tilstrekkelig for de fleste kjørbare filer og Office-dokumenter som vanligvis brukes i analysescenarier.

Tilnærmingen deres er lik: gå opp, vent på resultatet og sjekk hvilke motorer som oppdager hvaDen fokuserer mindre på ultra-brukervennlighet og mer på å tilby en funksjonell og gratis tjeneste som er nyttig for en second opinion.

Intezer Analyser

Intezer Analyze gir en ny vri på den tradisjonelle tilnærmingen og fokuserer på det de kaller "Analyse av genetisk kode"I stedet for å utelukkende stole på antivirusskanninger, bryter den ned filen og sammenligner kodefragmenter mot massive databaser med skadelig programvare og legitim programvare.

På denne måten er den i stand til å oppdage gjenbruk av kode på tvers av ulike skadevarefamilier, se likheter med tidligere prøver og grupper prøver etter avstamning, noe som er utrolig nyttig for forskere og etterretningsteam.

Intezers rapporter gir kontekst om kodens sannsynlige opprinnelsehvilke deler som er nye, hvilke som er hentet fra andre trojanere eller verktøy, og hvordan utvalget passer inn i kjente kampanjer, noe som letter attribusjonsarbeidet.

Dessuten integreres den godt gjennom API-er for å automatisere innsendinger og korrelasjonerDerfor er det et kraftig alternativ for forretnings- og forskningsmiljøer som ønsker å gå utover den typiske «smittet/ikke-smittet»-situasjonen.

AlienVault (nivå blå)

AlienVault, nå under Level Blue-merket, er ikke bare et verktøy for analyse av skadelig programvare, men et enhetlig sikkerhetsplattform som integrerer flere funksjoner i ett enkelt produkt.

Forslaget deres dreier seg om Enhetlig sikkerhetsadministrasjon (USM)Kombinerer SIEM, aktivaoppdagelse, sårbarhetsskanning og IDS, pluss deteksjon av skadelig programvare og hendelseskorrelasjon.

En av hovedfunksjonene til AlienVault er dens samarbeidende trusselinformasjon, matet av fellesskapet og kommersielle kilder, som kontinuerlig oppdateres for å identifisere mistenkelig atferd og pågående kampanjer.

Takket være API-et og muligheten til å integrere med andre løsninger, er det et attraktivt alternativ for organisasjoner som ønsker å se skadelig programvare som bare en ny brikke i puslespillet innenfor et komplett sikkerhetsrammeverk, ikke som noe isolert.

MalwareBazar

MalwareBazar, drevet av abuse.ch og Spamhaus, er en samarbeidsplattform for deling og nedlasting av skadevareeksemplerDen er sterkt rettet mot forskere, sikkerhetsprodusenter og team som trenger nytt materiale til analysene sine.

En av fordelene fremfor andre plattformer er at Det fjerner mange inngangsbarrierer.Det er ingen komplekse registreringskrav eller altfor strenge nedlastingsgrenser, noe som gjør det daglige forskningsarbeidet smidigere.

Plattformen fokuserer på ekte prøver, og unngår godartede filer, reklameprogrammer eller PUP-er for å maksimere verdien av det som deles. Dette hjelper de som analyserer skadevarefamilier, botnett eller spesifikke kampanjer.

MalwareBazar tilbyr et API som tillater automatisere nedlasting og integrering av eksempler i analyseflyter, sandkasseing eller intelligensberikelse, samt integrasjoner med SIEM og andre løsninger.

Hunt.io

Hunt.io er mer rettet mot trusseljakt og etterretning om ondsinnet infrastruktur snarere enn analyse av selve filene. Fokuset er på domener, IP-adresser og hash-adresser og hvordan de forholder seg til hverandre.

En av stjernefunksjonene er dens C2-infrastrukturfeed, som proaktivt identifiserer og validerer kommando- og kontrollservere før de utnyttes massivt, takket være storskala internettskanninger.

Plattformen utfører en kontinuerlig overvåking av eksponerte tjenester, sertifikater, HTTP-overskrifter og andre eksternt synlige elementer for å oppdage bruksmønstre fra ondsinnede aktører.

Med funksjoner som IOC Hunter, tillater det med utgangspunkt i en spesifikk indikator (et domene, en IP-adresse, en hash) og utforske relatert infrastruktur: eksponerte kataloger, delte sertifikater, mistenkelige overskrifter osv.

OPSWAT MetaDefender Cloud som et jaktverktøy

I tillegg til mulighetene som en flermotorskanner, er MetaDefender Cloud godt posisjonert som trusseljaktverktøy ved å integrere data fra flere sikkerhetsleverandører, brukertilbakemeldinger og korrelasjonsmuligheter.

Plattformen utnytter mer enn bare 20 antivirusmotorer og andre analyselag for å redusere falske negative resultater, forbedre responstider og legge til rette for prioritering av varsler i bedriftsmiljøer.

Den samarbeidende tilnærmingen, der brukerne kan Merking og kommentering av filer, IP-adresser eller domenerDet muliggjør kontinuerlig finjustering av deteksjonsalgoritmer og holder systemet på linje med de nyeste truslene.

CAPE Sandkasse

CAPE Sandbox (CAPEv2) er utviklingen av tidligere prosjekter som Cuckoo Sandbox, og har blitt en Et svært kraftig verktøy for dynamisk analyse av skadelig programvare, ideell for laboratorier og innsatsteam.

Dens største styrke ligger i å kombinere statisk og dynamisk analyse å trekke ut interne konfigurasjoner, pakke ut skjulte nyttelaster og oppdage unnvikelsesteknikker som ofte går ubemerket hen i rent statiske analyser.

CAPEv2 er i stand til å overvåke API-kall, nettverkstrafikk, endringer i filsystemet og minnegenerere svært detaljerte rapporter om oppførselen til skadelig programvare under kjøring.

Den inkluderer også et rensesystem styrt av YARA-regler og andre mekanismersom bidrar til å konfrontere prøver med anti-sandkasseteknikker eller mer avanserte kamuflasjeforsøk.

MisbrukIPDB

AbuseIPDB er en samarbeidende database over IP-adressens omdømme som samler inn rapporter om ondsinnet aktivitet sendt inn av brukere, selskaper og automatiserte tjenester fra hele verden.

Enhver person eller et hvilket som helst system kan Rapporter IP-adresser som utfører angrepbrute force-forsøk, spam, krenkende skanninger eller annen mistenkelig atferd, som bidrar til å forbedre databasens kvalitet.

Denne fellesskapsbaserte tilnærmingen sikrer at databasen forblir veldig oppdatert med faktisk ondsinnet aktivitet, utover enkle statiske lister laget i et laboratorium, og gjør den verdifull for å blokkere eller filtrere innkommende trafikk.

API-et gjør det enkelt å integrere denne omdømmeinformasjonen i brannmurer, SIEM, WAF eller egne skriptslik at blokkerings- eller varslingsbeslutninger kan støttes av berikede data om historikken til hver IP-adresse.

Gitt alt det ovennevnte, er VirusTotal og Jotti fortsatt to svært nyttige verktøy for spesifikk analyse av filer, men de passer inn i et mye bredere bilde der flermotorskannere, plattformer for deling av prøver, avanserte sandkasser og intelligens for ondsinnet infrastruktur utfyller hverandre for å tilby et mye rikere og mer handlingsrettet bilde av aktuelle trusler.