VirusTotal kontra Jotti: kompletne porównanie i rzeczywiste alternatywy

Informatec Digital » Zasoby » VirusTotal kontra Jotti: kompletne porównanie i rzeczywiste alternatywy

Kiedy mówimy o analizuj podejrzane pliki pod kątem złośliwego oprogramowaniaW rozmowach zawsze pojawiają się dwie nazwy: VirusTotal i Jotti. To doświadczeni dostawcy usług, z których korzystają zarówno użytkownicy domowi, jak i technicy bezpieczeństwa oraz analitycy, którzy potrzebują szybkiej drugiej opinii na temat pliku pobranego z internetu lub otrzymanego pocztą elektroniczną.

Choć na pierwszy rzut oka mogą się wydawać prawie identyczne narzędziaW rzeczywistości istnieją znaczne różnice w silnikach antywirusowych, typach skanowania, maksymalnym rozmiarze pliku, poziomie szczegółowości raportów, a nawet podejściu usługi (bardziej zaawansowanym lub prostszym). Co więcej, ekosystem się rozrósł i obecnie istnieje wiele alternatyw, które warto rozważyć, aby uniknąć polegania na jednej platformie.

Dlaczego skanery online są nadal przydatne

W systemach takich jak Windows posiadanie Zainstalowany i zaktualizowany rezydentny program antywirusowy To nie jest opcjonalne, to konieczność. W rzeczywistości sam Microsoft integruje program Windows Defender z systemem, oferując podstawową ochronę w czasie rzeczywistym bez konieczności podejmowania przez nas dodatkowych działań.

Mimo to wielu użytkowników nadal nie ufa programowi Windows Defender i wybiera rozwiązania zabezpieczające innych firm Od uznanych marek, obecnych na rynku od lat. Ten główny program antywirusowy zazwyczaj monitoruje komputer w tle, ale nie zawsze chcemy instalować inny program tylko po to, by sprawdzić konkretny plik.

W życiu codziennym bardzo praktyczna jest możliwość zrobienia Analiza na żądanie jednego lub więcej plików bezpośrednio z przeglądarkiBez instalacji i bez ingerencji w ustawienia systemowe. W tym miejscu z pomocą przychodzą usługi takie jak VirusTotal czy Jotti, które umożliwiają przesłanie pliku i sprawdzenie go w kilku programach antywirusowych jednocześnie.

Oprócz zaplanowanego skanowania przez program antywirusowy, zaleca się okresowe wykonywanie skanowania. dokładniejsze sprawdzenie komputeraAle gdy problemem jest konkretny plik (załącznik, pobrany plik wykonywalny, podejrzany dokument), skanery online oferują szybką i bardzo wygodną drugą opinię.

Czym jest VirusTotal i jak działa?

Na przestrzeni lat VirusTotal stał się odniesienie światowe w analizie plików i adresów URL Z sieci. Należy do ekosystemu Google i integruje się ze wszystkimi rodzajami przepływów pracy: od użytkowników przesyłających pojedynczy plik, po zespoły SOC automatyzujące zapytania za pośrednictwem API.

Największą siłą VirusTotal jest to, że Łączy ponad 70 silników antywirusowych i narzędzi zabezpieczających aby przeanalizować przesłany element. Oznacza to, że nie ogranicza się do jednego rozwiązania, ale testuje plik, adres URL, domenę lub adres IP pod kątem szerokiego zakresu niezależnych technologii, aby zwiększyć szanse wykrycia.

Dla użytkownika proces jest bardzo prosty: wystarczy przesłać plik lub wkleić Adres URL, domena, adres IP lub hashPoczekaj kilka sekund i przejrzyj szczegółowy raport, w którym znajdziesz informacje o tym, które wyszukiwarki oznaczyły go jako złośliwy, które uważają, że jest bezpieczny, a także o tym, jaki rodzaj zagrożenia został wykryty (jeśli w ogóle).

Kolejną bardzo mocną cechą jest ogromna baza danych historycznych próbekVirusTotal przechowuje i porządkuje przeanalizowane pliki, umożliwiając zapoznanie się ze starymi próbkami i sprawdzenie, jak zmieniały się wykrycia oraz jakie dodatkowe informacje wygenerowano z biegiem czasu.

Platforma oferuje również: bardzo aktywna społeczność który komentuje, taguje i wzbogaca próbki o kontekst: rodziny złośliwego oprogramowania, znane kampanie, powiązane wskaźniki itp. Ten aspekt współpracy dodaje ogromną wartość dodaną do raportów.

Wadą wersji darmowej jest to, że: ograniczenia rozmiaru pliku które można przesłać i korzystać z API. Innym wrażliwym punktem jest prywatność: wielu użytkowników nie czuje się komfortowo przesyłanie poufnych plików wiedząc, że można się nimi dzielić ze społecznością i firmami ochroniarskimi.

Czym jest Jotti i czym różni się od VirusTotal?

Skanowanie w poszukiwaniu złośliwego oprogramowania przez Jottiego to znacznie prostsza usługa internetowa, przeznaczona dla osób, które chcą szybko sprawdź plik Bez komplikowania sprawy. Koncepcja jest podobna: przesyłasz plik, a następnie jest on analizowany równolegle przez kilka silników antywirusowych.

Według własnych informacji serwisu Jotti pozwala Prześlij do 5 plików na razMaksymalny rozmiar pliku w najnowszej konfiguracji wynosi 250 MB (niektóre starsze porównania podawały 20 MB, ale obecny limit jest znacznie wyższy). Dzięki temu rozwiązanie to sprawdza się w przypadku dokumentów średniej wielkości, plików wykonywalnych i programów kompresujących.

Liczba silników jest znacznie niższa niż w VirusTotal: Jotti współpracuje z od 15 do 20 różnych programów antywirusowychco w praktyce nadal stanowi dobrą „drugą opinię”, ale oczywiście oferuje mniejszą różnorodność niż ponad 70 opinii z VirusTotal.

Jedną z jego zalet jest interfejs: Jotti wyróżnia się Bardzo czysta i bezpośrednia prezentacjaIdealne dla użytkowników nietechnicznych, którzy chcą po prostu sprawdzić, czy plik „wygląda podejrzanie”, czy nie. Raport jest krótszy i mniej przytłaczający niż w przypadku VirusTotal.

Jednakże usługa ta jest skupiona wyłącznie na analizować luźne plikiNie pozwala na skanowanie adresów URL, domen ani adresów IP, co jest codzienną czynnością analityków i administratorów korzystających z VirusTotal.

Sama usługa ostrzega, że ​​nawet jeśli korzysta z kilku silników, Nie ma 100% ochronyDodatkowo wszystkie przesłane pliki są udostępniane uczestniczącym firmom oferującym oprogramowanie antywirusowe w celu ulepszenia ich sygnatur i mechanizmów wykrywania. Jest to kwestia godna rozważenia, jeśli masz do czynienia z treściami o szczególnym znaczeniu.

Podobieństwa między VirusTotal i Jotti

Z perspektywy przeciętnego użytkownika VirusTotal i Jotti mają szereg wspólnych podstawowych cech, które wyjaśniają, dlaczego często wymienia się je razem podczas dyskusji skanery złośliwego oprogramowania online.

Przede wszystkim, oba są bezpłatne usługi dostępne z poziomu przeglądarkiDo podstawowego użytkowania nie jest wymagane tworzenie konta ani instalowanie dodatkowego oprogramowania. Wystarczy odwiedzić stronę internetową, wybrać plik i poczekać na wynik.

Oba opierają się na idei korzystaj z wielu silników antywirusowych jednocześnie aby zwiększyć prawdopodobieństwo wykrycia zagrożeń. Zamiast polegać na opinii jednego dostawcy, oferują one swego rodzaju „głosowanie” wśród kilku silników.

Zgadzają się również, że są narzędzia analityczne na żądanieNie zastępują one oprogramowania antywirusowego na komputery stacjonarne. Nie zapewniają ochrony w czasie rzeczywistym, nie blokują pobierania ani nie monitorują procesów; skanują jedynie pliki, które ręcznie im prześlesz.

Zarówno VirusTotal, jak i Jotti oferowali lub nadal oferują klienci stacjonarni Aby ułatwić przesyłanie plików bez konieczności otwierania przeglądarki, co jest przydatne dla tych, którzy często analizują pliki i nie chcą za każdym razem powtarzać tego samego, ręcznego procesu.

Kluczowe różnice: Gdzie VirusTotal wygrywa, a gdzie Jotti jest bardziej przekonujący?

Mimo że koncepcja jest podobna, przy porównywaniu VirusTotal i Jotti widoczne są istotne różnice w silnikach, opcjach analizy i poziomie szczegółowości, dzięki czemu każdy z nich lepiej odpowiada określonemu typowi użytkownika.

Pierwsza główna różnica polega na liczba i różnorodność silników antywirusowychTesty porównawcze wykazały, że Jotti używał około 19 silników, natomiast VirusTotal używał 40, 50 lub więcej, w zależności od epoki, w tym popularnych rozwiązań, takich jak McAfee, Symantec lub Trend Micro, których Jotti nie uwzględnia.

Innym obszarem, w którym VirusTotal ma przewagę, jest opcje skanowaniaNie ogranicza się tylko do plików: umożliwia również analizowanie adresów URL, domen, adresów IP, skrótów, a nawet wyodrębnianie informacji o zachowaniu, co jest bardzo przydatne przy sprawdzaniu linków przed ich pobraniem. odwiedzaj potencjalnie niebezpieczne strony internetowe.

W kwestii bezpieczeństwa samego połączenia VirusTotal oferuje przesyłanie plików za pomocą protokołu SSL szyfrowania transferu podczas analizy. Jotti, na wielu etapach swojej działalności, nie oferował tak widocznych opcji, co może niepokoić użytkowników, którzy bardzo dbają o poufność przesyłanych danych.

Z drugiej strony Jotti zdobywa punkty właśnie dzięki swoim prostota i przejrzystośćAplikacja nie przytłacza dziesiątkami zakładek, wskaźników ani zaawansowanych metryk; skupia się na pokazaniu, które wyszukiwarki oznaczyły plik jako podejrzany i na niczym więcej. Wiele osób doceni tę funkcję, jeśli po prostu chcą szybko uzyskać odpowiedź.

Różne analizy porównawcze zwykle dochodzą do wniosku, że jeśli szukasz czegoś, maksymalny zasięg i wszechstronnośćVirusTotal wygrywa z dużą przewagą. Jotti natomiast jest dobrze pozycjonowany jako usługa uzupełniająca, umożliwiająca szybkie uzyskanie drugiej opinii po uruchomieniu VirusTotal lub skorzystaniu z lokalnego programu antywirusowego.

VirusTotal po integracji z Google Threat Intelligence

W ostatnich latach krajobraz dla profesjonalnych użytkowników VirusTotal uległ zmianie, ponieważ usługa stała się coraz bardziej zintegrowana z Google Threat Intelligence (GTI), linia produktów Google do cyberwywiadu zorientowanych na przedsiębiorstwa.

Dzięki tej integracji wiele funkcji, które były wcześniej dostępne w poziomy bezpłatne lub średniozaawansowane Przeszli na wyższe modele płatności, a różni profesjonaliści na specjalistycznych forach komentowali znaczące podwyżki cen za zaawansowany dostęp do danych i raportów.

Zmiana ta następuje w szczególnie delikatnym momencie, stały wzrost podatności i zagrożeńRaporty dotyczące zagrożeń szacują, że liczba ujawnionych luk w zabezpieczeniach (CVE) wzrosła o ponad 15% w porównaniu z poprzednimi latami, co wymaga większej ilości danych, szerszego kontekstu i większej automatyzacji.

Dla wielu zespołów ds. cyberbezpieczeństwa, łowców zagrożeń i centrów operacyjnych schronienie znajduje się wyłącznie w przesyłanie plików przez społeczność i wykrywanie wirusów W przypadku VirusTotal nie jest to już wystarczające i nie zawsze opłacalne, jeśli chcesz przeprowadzić bardziej szczegółową analizę, korzystając z zaawansowanych interfejsów API.

Wszystko to skłoniło do poszukiwań praktyczne i uzupełniające alternatywy które spełniają potrzeby w zakresie analizy zagrożeń, korelacji wskaźników i automatyzacji, nie będąc przy tym w 100% zależne od ekosystemu VirusTotal/GTI.

Potężne alternatywy dla VirusTotal (poza Jotti)

Choć Jotti jest ciekawą alternatywą do okazjonalnego użytku, istnieje cała gama platformy obejmujące określone aspekty Warto wziąć pod uwagę analizę złośliwego oprogramowania, udostępnianie próbek, reputację adresów IP i mapowanie złośliwej infrastruktury.

Metadefender Cloud (OPSWAT)

Metadefender Cloud firmy OPSWAT to rozwiązanie chmurowe, które nie tylko oferuje Analiza wielosilnikowa w stylu VirusTotalale dodaje dodatkowe warstwy skupione na zapobieganiu, takie jak dezynfekcja i higiena plików.

Usługa umożliwia skanowanie pliki, adresy URL, adresy IP i skróty Ponad 20–30 silników antywirusowych wyszukuje zarówno znane zagrożenia, jak i podejrzane zachowania. Celem jest maksymalizacja skuteczności wykrywania poprzez połączenie różnych technologii.

Jego główną cechą jest Rozbrajanie i rekonstrukcja treści (CDR)Pobiera plik, usuwa z niego potencjalnie niebezpieczne części (makra, skrypty, osadzoną zawartość) i generuje użyteczną, „czystą” wersję, nawet w przypadkach, gdy złośliwe oprogramowanie nie zostało jeszcze wyraźnie zidentyfikowane.

Metadefender Cloud oferuje również skanowanie pod kątem luk w plikachNa przykład poprzez wykrywanie nieaktualnych bibliotek lub komponentów ze znanymi lukami w zabezpieczeniach, co dodaje dodatkową warstwę zabezpieczeń do zwykłej analizy antywirusowej.

Dzięki API i integracjom jest to dobra opcja dla organizacje chcące zautomatyzować proces sanitarny plików przychodzących (poczta e-mail, portale klienckie, transfery wewnętrzne) zanim dotrą one do użytkownika końcowego.

Skanowanie złośliwego oprogramowania Jotti'ego jako prosta alternatywa

Oprócz bezpośredniego porównania z VirusTotal, Jotti pozostaje doskonałym atutem dla szybkie i bezpłatne skanowanie w środowiskach domowych lub małych firmach, które nie wymagają dużych wdrożeń.

Jego główną zaletą jest możliwość wykorzystania wiele silników antywirusowych działających równolegleDzięki temu zwiększa się wskaźnik wykrywania w porównaniu do bezmyślnego polegania na pojedynczym produkcie na komputerze stacjonarnym, a zagrożenia, które pojedynczy silnik by przeoczył, mogą zostać wykryte.

Jego limit wielkości (obecnie do 250 MB na plik z możliwością wysłania 5 na razDzięki temu jest to praktyczne rozwiązanie w większości typowych przypadków, od instalatorów po pliki skompresowane lub dość ciężkie dokumenty.

Podejście do interfejsu jest bardzo minimalistyczne, z zwykły panel bez opcji zaawansowanych To może być mylące. To idealne rozwiązanie dla osób, które chcą przesłać plik, zobaczyć listę wyszukiwarek i szybko zdecydować, czy ufają danemu plikowi.

Dla analityków i zaawansowanych użytkowników Jotti sprawdza się doskonale jako drugie lub trzecie źródło weryfikacji po VirusTotal, zwłaszcza w procesach, w których chcesz porównać wyniki między różnymi usługami online.

VirSCAN.org

VirSCAN.org to kolejny klasyk skanery wieloantywirusowe w sieciUmożliwia przesyłanie plików i sprawdzanie ich za pomocą kilku silników od różnych producentów, zapewniając w ten sposób przekrojowy obraz możliwych infekcji.

Od dłuższego czasu udaje mu się Limit 20 MB na plikJest to nieco bardziej konserwatywne podejście niż obecne wyliczenia Jottiego, ale wystarczające dla większości plików wykonywalnych i dokumentów biurowych powszechnie używanych w scenariuszach analitycznych.

Ich podejście jest podobne: idź w górę, czekaj na wynik i sprawdź, które silniki wykrywają coKoncentruje się mniej na ultra-użyteczności, a bardziej na oferowaniu funkcjonalnej i bezpłatnej usługi, która może okazać się przydatna w celu uzyskania drugiej opinii.

Analiza Intezer

Intezer Analyze wprowadza nową interpretację tradycyjnego podejścia i skupia się na tym, co nazywają „analiza kodu genetycznego”Zamiast opierać się wyłącznie na skanowaniu antywirusowym, program analizuje plik i porównuje fragmenty kodu z ogromnymi bazami danych złośliwego oprogramowania i legalnego oprogramowania.

W ten sposób jest w stanie wykrywanie ponownego wykorzystania kodu w różnych rodzinach złośliwego oprogramowania, zobacz podobieństwa do poprzednich próbek i pogrupuj próbki według linii rodowych, co jest niezwykle przydatne dla badaczy i zespołów wywiadowczych.

Raporty Intezera dostarczają kontekst dotyczący prawdopodobnego pochodzenia koduktóre części są nowe, które pochodzą z innych trojanów lub narzędzi, a także w jaki sposób próbka wpisuje się w znane kampanie, co ułatwia pracę nad atrybucją.

Ponadto dobrze się integruje Interfejsy API do automatyzacji przesyłania danych i korelacjiDlatego jest to mocna alternatywa dla środowisk biznesowych i badawczych, które chcą wyjść poza typowy schemat „zainfekowany/niezainfekowany”.

AlienVault (poziom niebieski)

AlienVault, obecnie pod marką Level Blue, to nie tylko narzędzie do analizy złośliwego oprogramowania, ale także ujednolicona platforma bezpieczeństwa który integruje wiele możliwości w jednym produkcie.

Ich propozycja opiera się na Jednolite zarządzanie bezpieczeństwem (USM)Łączy w sobie SIEM, wykrywanie zasobów, skanowanie podatności i IDS, a także wykrywanie złośliwego oprogramowania i korelację zdarzeń.

Jedną z kluczowych cech AlienVault jest jego współpraca w zakresie wywiadu zagrożeń, zasilany przez społeczność i źródła komercyjne, który jest stale aktualizowany w celu identyfikowania podejrzanych zachowań i trwających kampanii.

Dzięki API i możliwości integracji z innymi rozwiązaniami stanowi atrakcyjną alternatywę dla organizacje, które chcą traktować złośliwe oprogramowanie jako kolejny element układanki w ramach kompletnych ram bezpieczeństwa, a nie jako coś odizolowanego.

MalwareBazar

MalwareBazar, obsługiwany przez abuse.ch i Spamhaus, to platforma współpracy umożliwiająca udostępnianie i pobieranie próbek złośliwego oprogramowaniaJest on skierowany przede wszystkim do badaczy, producentów rozwiązań zabezpieczających i zespołów, które potrzebują nowego materiału do swoich analiz.

Jedną z jego zalet w porównaniu z innymi platformami jest to, że Eliminuje wiele barier wejścia.Nie ma skomplikowanych wymagań rejestracyjnych ani nadmiernie rygorystycznych limitów pobierania danych, dzięki czemu codzienne badania stają się płynniejsze.

Platforma koncentruje się na prawdziwych próbkach, unikając nieszkodliwe pliki, adware lub PUP maksymalizacja wartości udostępnianych informacji. Pomaga to osobom analizującym rodziny złośliwego oprogramowania, botnety lub konkretne kampanie.

MalwareBazar oferuje API, które umożliwia zautomatyzować pobieranie i integrację próbek w analizie przepływów, sandboxingu lub wzbogacaniu danych wywiadowczych, a także integracji z SIEM i innymi rozwiązaniami.

Hunt.io

Hunt.io jest bardziej ukierunkowany na polowanie na zagrożenia i wywiad na temat złośliwej infrastruktury Zamiast analizy samych plików, koncentruje się na domenach, adresach IP i skrótach oraz ich wzajemnych powiązaniach.

Jedną z jego głównych cech jest Kanał infrastruktury C2, która proaktywnie identyfikuje i weryfikuje serwery poleceń i kontroli, zanim zostaną wykorzystane na masową skalę, dzięki skanowaniu Internetu na szeroką skalę.

Platforma wykonuje ciągły monitoring udostępnionych usług, certyfikaty, nagłówki HTTP i inne widoczne zewnętrznie elementy w celu wykrywania wzorców użytkowania przez osoby o złych zamiarach.

Dzięki takim funkcjom jak IOC Hunter umożliwia zaczynając od określonego wskaźnika (domena, adres IP, hash) i zbadaj powiązaną infrastrukturę: odsłonięte katalogi, współdzielone certyfikaty, podejrzane nagłówki itp.

OPSWAT MetaDefender Cloud jako narzędzie do polowań

Oprócz możliwości bycia skanerem wielosilnikowym, MetaDefender Cloud jest dobrze przygotowany do narzędzie do wykrywania zagrożeń poprzez integrację danych od wielu dostawców zabezpieczeń, opinii użytkowników i możliwości korelacji.

Platforma wykorzystuje ponad 20 silników antywirusowych oraz inne poziomy analizy mające na celu ograniczenie liczby wyników fałszywie negatywnych, skrócenie czasu reakcji i ułatwienie ustalania priorytetów alertów w środowiskach korporacyjnych.

Jego podejście oparte na współpracy, w którym użytkownicy mogą Oznaczanie i komentowanie plików, adresów IP lub domenUmożliwia ciągłe udoskonalanie algorytmów wykrywania i dostosowywanie systemu do najnowszych zagrożeń.

Piaskownica CAPE

CAPE Sandbox (CAPEv2) to ewolucja poprzednich projektów, takich jak Cuckoo Sandbox, i stał się Bardzo potężne narzędzie do dynamicznej analizy złośliwego oprogramowania, idealny dla laboratoriów i zespołów reagowania.

Jego największa siła tkwi w łączeniu analiza statyczna i dynamiczna aby wyodrębnić wewnętrzne konfiguracje, rozpakować ukryte ładunki i odkryć techniki omijania zabezpieczeń, które często pozostają niezauważone w czysto statycznych analizach.

CAPEv2 umożliwia monitorowanie Wywołania API, ruch sieciowy, zmiany w systemie plików i pamięćgenerowanie bardzo szczegółowych raportów na temat zachowania uruchomionego złośliwego oprogramowania.

Zawiera również system oczyszczania sterowany przez Zasady YARA i inne mechanizmyco pomaga konfrontować próbki z technikami anty-sandboxowymi lub bardziej zaawansowanymi próbami kamuflażu.

NadużycieIPDB

AbuseIPDB to wspólna baza danych Reputacja adresu IP który zbiera raporty dotyczące złośliwej aktywności przesyłane przez użytkowników, firmy i usługi automatyczne z całego świata.

Każda osoba lub system może Zgłaszaj adresy IP, które przeprowadzają atakipróby ataku siłowego, spam, nadużycia skanowania i inne podejrzane zachowania, przyczyniając się do poprawy jakości bazy danych.

To podejście oparte na społeczności zapewnia, że ​​baza danych pozostaje bardzo aktualne w kwestii rzeczywistej złośliwej aktywności, wykraczający poza proste, statyczne listy tworzone w laboratorium, i sprawia, że ​​jest przydatny do blokowania lub filtrowania ruchu przychodzącego.

Dzięki interfejsowi API można łatwo zintegrować tę inteligencję dotyczącą reputacji zapory sieciowe, SIEM, WAF lub własne skryptytak aby decyzje o blokowaniu lub ostrzeganiu mogły być wspierane przez wzbogacone dane na temat historii każdego adresu IP.

Biorąc pod uwagę powyższe, VirusTotal i Jotti pozostają dwoma bardzo przydatnymi narzędziami do szczegółowej analizy plików, ale wpisują się w znacznie szerszy obraz, w którym skanery wielosilnikowe, platformy do udostępniania próbek, zaawansowane środowiska testowe i wywiad dotyczący złośliwej infrastruktury uzupełniają się, oferując znacznie bogatszy i bardziej przydatny obraz bieżących zagrożeń.