VirusTotal против Jotti: полное сравнение и реальные альтернативы.

Информатек Диджитал » Ресурсы » VirusTotal против Jotti: полное сравнение и реальные альтернативы.

Когда мы говорим о анализ подозрительных файлов на наличие вредоносного ПОВ разговорах постоянно всплывают два названия: VirusTotal и Jotti. Это проверенные временем сервисы, широко используемые как домашними пользователями, так и специалистами по безопасности и аналитиками, которым необходимо быстро получить второе мнение о файле, загруженном из интернета или полученном по электронной почте.

Однако, хотя на первый взгляд они могут показаться практически идентичные инструментыВ действительности существуют значительные различия в антивирусных движках, типах сканирования, максимальном размере файлов, уровне детализации отчетов и даже в подходе сервиса (более продвинутый или более простой). Кроме того, экосистема разрослась, и сегодня существует множество альтернатив, которые стоит изучить, чтобы не полагаться на одну единственную платформу.

Почему онлайн-сканеры по-прежнему полезны

В таких системах, как Windows, наличие Установлен и обновлен резидентный антивирус. Это не опция, а необходимость. Более того, сама Microsoft интегрирует Windows Defender в систему, который обеспечивает базовую защиту в режиме реального времени без каких-либо дополнительных действий с нашей стороны.

Тем не менее, многие пользователи по-прежнему не доверяют Windows Defender и предпочитают использовать другие решения. сторонние решения в области безопасности от известных брендов, которые присутствуют на рынке уже много лет. Этот основной антивирус обычно отслеживает работу компьютера в фоновом режиме, но нам не всегда нужно устанавливать еще одну программу только для проверки конкретного файла.

В повседневной жизни очень практично уметь делать Анализ одного или нескольких файлов по запросу. прямо из браузераБез установки и без изменения системных настроек. Вот тут-то и пригодятся такие сервисы, как VirusTotal или Jotti, позволяющие загрузить файл и проверить его одновременно на нескольких антивирусных движках.

Помимо плановых проверок антивируса, рекомендуется периодически проводить сканирование. более тщательная проверка ПКНо когда нас беспокоит конкретный файл (вложение, загруженный исполняемый файл, подозрительный документ), эти онлайн-сканеры предлагают быстрое и очень удобное второе мнение.

Что такое VirusTotal и как он работает?

За прошедшие годы VirusTotal стал мировой эталон в анализе файлов и URL-адресов Это веб-сервис. Он входит в экосистему Google и интегрируется во всевозможные рабочие процессы: от загрузки пользователями одного файла до автоматизации запросов командами SOC через API.

Главное преимущество VirusTotal заключается в том, что Он объединяет более 70 антивирусных движков и инструментов безопасности. для анализа предоставленного элемента. То есть, он не ограничивается одним решением, а проверяет файл, URL, домен или IP-адрес с помощью широкого спектра независимых технологий, чтобы повысить вероятность обнаружения.

Для пользователя процесс очень прост: достаточно загрузить файл или вставить его. URL, домен, IP-адрес или хешПодождите несколько секунд и просмотрите подробный отчет, в котором указано, какие поисковые системы помечают его как вредоносный, какие считают его чистым и какой тип угрозы, если таковая имеется, был обнаружен.

Ещё одной очень важной особенностью является его огромная историческая база данных образцовVirusTotal хранит и систематизирует проанализированные файлы, позволяя вам просматривать старые образцы, чтобы увидеть, как менялись результаты обнаружения и какая дополнительная информация была получена с течением времени.

Платформа также включает в себя очень активное сообщество который комментирует, помечает и обогащает образцы контекстом: семействами вредоносных программ, известными кампаниями, связанными индикаторами и т. д. Этот аспект совместной работы значительно повышает ценность отчетов.

К недостаткам бесплатной версии можно отнести наличие ограничения размера файла Это можно загрузить и использовать через API. Еще один деликатный момент — конфиденциальность: многие пользователи чувствуют себя некомфортно. загрузка конфиденциальных файлов зная, что ими можно поделиться с сообществом и с компаниями, занимающимися вопросами безопасности.

Что такое Jotti и чем он отличается от VirusTotal?

Сервис сканирования на вредоносное ПО Jotti — это гораздо более простой веб-сервис, разработанный для тех, кто хочет быстро проверить файл Не будем усложнять. Концепция похожа: вы загружаете файл, и он анализируется несколькими антивирусными движками параллельно.

Согласно информации, предоставленной самим сервисом, Jotti разрешает Загружайте до 5 файлов одновременно.В последней версии программы максимальный размер файла составляет 250 МБ (в некоторых более ранних сравнениях упоминалось 20 МБ, но текущий лимит значительно больше), что делает её практичной для документов среднего размера, исполняемых файлов или программ сжатия.

Количество движков значительно меньше, чем в VirusTotal: Jotti работает с от 15 до 20 различных антивирусных программНа практике это все еще хорошее «второе мнение», но, очевидно, оно предлагает меньшее разнообразие, чем более 70 вариантов от VirusTotal.

Одним из его преимуществ является интерфейс: Jotti выделяется тем, что Очень лаконичная и понятная презентация.Идеально подходит для пользователей, не разбирающихся в технике, которым просто нужно узнать, «вызывает ли файл подозрения» или нет. Отчет короче и менее перегружен информацией, чем у VirusTotal.

Однако данная услуга ориентирована исключительно на анализ отдельных файловОн не позволяет сканировать URL-адреса, домены или IP-адреса, что является частью повседневной работы аналитиков и администраторов с VirusTotal.

Сам сервис предупреждает, что даже при использовании нескольких движков, Стопроцентной защиты не существует.Кроме того, все отправленные файлы передаются участвующим антивирусным компаниям для улучшения их сигнатур и механизмов обнаружения, что следует учитывать, если вы работаете с особо конфиденциальной информацией.

Сходства между VirusTotal и Jotti

С точки зрения среднестатистического пользователя, VirusTotal и Jotti обладают рядом общих основных характеристик, объясняющих, почему их часто упоминают вместе при обсуждении. онлайн-сканеры вредоносных программ.

Во-первых, оба являются бесплатные сервисы, доступные из вашего браузераДля базового использования не требуется создание учетной записи, а также установка дополнительного программного обеспечения. Просто зайдите на сайт, выберите файл и дождитесь результата.

Оба основаны на идее использовать несколько антивирусных движков одновременно для повышения вероятности обнаружения угроз. Вместо того чтобы полагаться на мнение одного поставщика, они предлагают своего рода «голосование» среди нескольких поисковых систем.

Они также согласны с тем, что они инструменты аналитики по запросуОни не заменяют антивирусное программное обеспечение для настольных компьютеров. Они не обеспечивают защиту в реальном времени, не блокируют загрузки и не отслеживают процессы; они сканируют только то, что вы им отправляете вручную.

И VirusTotal, и Jotti предлагали или продолжают предлагать подобные сервисы. настольные клиенты Это позволит упростить отправку файлов без необходимости открывать браузер, что будет полезно для тех, кто часто анализирует файлы и не хочет каждый раз повторять один и тот же ручной процесс.

Ключевые отличия: В чём VirusTotal превосходит Jotti, а в чём он более убедителен?

Хотя концепция схожа, при сравнении VirusTotal и Jotti выявляются важные различия в механизмах анализа, параметрах анализа и уровне детализации, что делает каждую из них более подходящей для определенного типа пользователей.

Первое существенное различие заключается в количество и разнообразие антивирусных движковСравнительные тесты показали, что в то время как Jotti использовал около 19 движков, VirusTotal достигал 40, 50 и более в зависимости от эпохи, включая популярные решения, такие как McAfee, Symantec или Trend Micro, которые Jotti не использует.

Еще одна область, где VirusTotal имеет преимущество, это параметры сканированияЕго возможности не ограничиваются файлами: он также позволяет анализировать URL-адреса, домены, IP-адреса, хеши и даже извлекать информацию о поведении пользователей, что очень полезно для проверки ссылок перед их загрузкой. посещение потенциально опасных веб-сайтов.

Что касается безопасности самого соединения, VirusTotal предлагает загрузка файлов с использованием SSL для шифрования передаваемых данных во время анализа. Jotti на многих этапах своей работы не предоставлял такого уровня видимых опций, что может беспокоить пользователей, которые очень трепетно ​​относятся к конфиденциальности загружаемых данных.

С другой стороны, Йотти получает очки именно благодаря своим простота и ясностьОн не перегружает вас десятками вкладок, индикаторов или расширенных метрик; он фокусируется на показе того, какие поисковые системы помечают файл как подозрительный, и ни на чем другом, что многие оценят, если им просто нужен быстрый ответ.

Различные сравнительные анализы обычно приходят к выводу, что если вы ищете именно то, что ищете, то... максимальный охват и универсальностьVirusTotal выигрывает с большим отрывом. Jotti, с другой стороны, хорошо позиционируется как дополнительный сервис, предоставляющий быструю вторую оценку после использования VirusTotal или локального антивируса.

VirusTotal после интеграции в Google Threat Intelligence

В последние годы ситуация для профессиональных пользователей VirusTotal изменилась, поскольку сервис все больше интегрируется в различные системы. Google Threat Intelligence (GTI)Линейка корпоративных продуктов Google для киберразведки.

Благодаря этой интеграции многие функции, которые ранее были доступны в свободные или промежуточные уровни Они перешли на более дорогие модели оплаты, и различные специалисты на специализированных форумах отметили значительное повышение цен на расширенный доступ к данным и отчетам.

Этот сдвиг происходит в особенно деликатный момент, когда постоянный рост уязвимостей и угрозСогласно отчетам об анализе угроз, число выявленных уязвимостей CVE увеличилось более чем на 15% по сравнению с предыдущими годами, что требует больше данных, большего контекста и большей автоматизации.

Для многих команд по кибербезопасности, специалистов по поиску угроз и центров оперативного реагирования на угрозы поиск убежища — это единственный выход. Загрузка данных пользователями и обнаружение вирусов антивирусами В рамках VirusTotal этого уже недостаточно, и использование расширенных API-интерфейсов не всегда экономически выгодно.

Всё это подтолкнуло к поискам практические и дополнительные альтернативы которые отвечают потребностям в анализе угроз, корреляции индикаторов и автоматизации, не будучи на 100% зависимыми от экосистемы VirusTotal/GTI.

Мощные альтернативы VirusTotal (помимо Jotti)

Хотя Jotti представляет собой интересную альтернативу для эпизодического использования, существует целый ряд других вариантов. платформы, охватывающие конкретные аспекты Анализ вредоносного ПО, обмен образцами, оценка репутации IP-адресов или картирование вредоносной инфраструктуры — все это заслуживает внимания.

Облачная платформа Metadefender (OPSWAT)

Metadefender Cloud от OPSWAT — это облачное решение, которое не только предлагает... Многофункциональный анализ в стиле VirusTotalно добавляет дополнительные меры, направленные на профилактику, такие как дезинфекция и санитарная обработка документов.

Сервис позволяет сканировать файлы, URL-адреса, IP-адреса и хеши Благодаря использованию более 20-30 антивирусных движков, которые ищут как известные угрозы, так и подозрительное поведение, цель состоит в том, чтобы максимально повысить эффективность обнаружения за счет комбинирования различных технологий.

Его главная особенность — это Разоружение и восстановление контента (CDR)Программа берет файл, удаляет потенциально опасные части (макросы, скрипты, встроенный контент) и генерирует пригодную для использования «чистую» версию, даже в тех случаях, когда вредоносное ПО еще не было явно идентифицировано.

Metadefender Cloud также предлагает сканирование уязвимостей внутри файловНапример, путем обнаружения устаревших библиотек или компонентов с известными уязвимостями, что добавляет дополнительный уровень безопасности к простому антивирусному анализу.

Благодаря своему API и интеграциям, это хороший вариант для организации, которые хотят автоматизировать санитарную обработку входящих файлов (электронная почта, клиентские порталы, внутренние переводы) до того, как они достигнут конечного пользователя.

Программа Jotti's Malware Scan — простая альтернатива.

Помимо прямого сравнения с VirusTotal, Jotti остается отличным инструментом для... Быстрое и бесплатное сканирование в домашних условиях или для небольших предприятий, не требующих масштабных развертываний.

Его главная привлекательность заключается в использовании несколько антивирусных движков работают параллельноЭто повышает эффективность обнаружения по сравнению со слепой полаганием на один-единственный настольный продукт и позволяет выявлять угрозы, которые могли бы быть пропущены одним поисковым движком.

Его лимит размера (в настоящее время до 250 МБ на файл, с возможностью отправки 5 файлов одновременно.Это делает его практичным для большинства распространенных случаев, от установщиков до сжатых файлов или довольно объемных документов.

Интерфейс выполнен в минималистичном стиле, с Простая панель без расширенных настроек. Это может сбивать с толку. Это идеально подходит для тех, кто хочет загрузить файл, увидеть список поисковых систем и быстро решить, доверять ли этому файлу или нет.

Для аналитиков или опытных пользователей Jotti отлично подходит в качестве второй или третий источник проверки После VirusTotal, особенно в тех случаях, когда необходимо сравнивать результаты работы различных онлайн-сервисов.

VirSCAN.org

VirSCAN.org — ещё один классический пример. многофункциональные антивирусные сканеры в интернетеЭто позволяет загружать файлы и проверять их с помощью нескольких поисковых систем от разных производителей, предоставляя срез возможных угроз.

Долгое время он занимался этим. Ограничение в 20 МБ на файл.Это несколько более консервативные данные, чем текущие показатели Йотти, но достаточные для большинства исполняемых файлов и офисных документов, обычно используемых в аналитических сценариях.

Их подход схож: подняться вверх, дождаться результата и Проверьте, какие двигатели что обнаруживают.Основное внимание уделяется не столько сверхвысокой удобности использования, сколько предоставлению функционального и бесплатного сервиса, полезного для получения второго мнения.

Интерезер Анализ

Intezer Analyze предлагает новый взгляд на традиционный подход и фокусируется на том, что они называют «Анализ генетического кода»Вместо того чтобы полагаться исключительно на антивирусное сканирование, программа анализирует файл и сравнивает фрагменты кода с обширными базами данных вредоносного и легитимного программного обеспечения.

Таким образом, оно способно обнаружение повторного использования кода в различных семействах вредоносных программ, позволяют выявлять сходства с предыдущими образцами и группировать образцы по родословным, что чрезвычайно полезно для исследователей и разведывательных групп.

Отчеты компании Intezer предоставляют контекст о вероятном происхождении кодаКакие части являются новыми, какие заимствованы из других троянов или инструментов, и как образец вписывается в известные кампании, что облегчит работу по установлению авторства.

Кроме того, он хорошо интегрируется посредством API для автоматизации отправки данных и сопоставления результатов.Таким образом, это мощная альтернатива для предприятий и исследовательских организаций, стремящихся выйти за рамки типичного подхода «инфицированные/неинфицированные».

AlienVault (Уровень синий)

AlienVault, теперь выпускаемый под брендом Level Blue, — это не просто инструмент для анализа вредоносного ПО, а… единая платформа безопасности который объединяет множество возможностей в одном продукте.

Их предложение основано на следующем: Единое управление безопасностью (USM)Сочетание SIEM-систем, обнаружения активов, сканирования уязвимостей и IDS, а также обнаружения вредоносного ПО и корреляции событий.

Одной из ключевых особенностей AlienVault является его совместная аналитика угрозСистема, пополняемая данными от сообщества и коммерческих источников, постоянно обновляется для выявления подозрительного поведения и текущих кампаний.

Благодаря своему API и возможности интеграции с другими решениями, это привлекательная альтернатива для организации, которые хотят рассматривать вредоносное ПО как всего лишь еще один элемент головоломки В рамках целостной системы безопасности, а не как нечто изолированное.

MalwareBazar

MalwareBazar, работающий на платформах abuse.ch и Spamhaus, — это... Совместная платформа для обмена и загрузки образцов вредоносного ПО.Он в значительной степени ориентирован на исследователей, производителей оборудования для обеспечения безопасности и группы, которым необходимы новые материалы для анализа.

Одним из ее преимуществ перед другими платформами является то, что Это устраняет многие барьеры для входа на рынок.Отсутствие сложных требований к регистрации и чрезмерно строгих ограничений на скачивание значительно упрощает повседневную исследовательскую работу.

Платформа ориентирована на реальные образцы, избегая... безобидные файлы, рекламное ПО или потенциально нежелательные программы чтобы максимально эффективно использовать предоставленную информацию. Это помогает тем, кто анализирует семейства вредоносных программ, ботнеты или конкретные кампании.

MalwareBazar предоставляет API, который позволяет автоматизировать загрузку и интеграцию образцов. в аналитических потоках, в режиме "песочницы" или для обогащения информации, а также интеграции с SIEM и другими решениями.

Hunt.io

Hunt.io больше ориентирован на Поиск угроз и сбор информации о вредоносной инфраструктуре. Вместо анализа самих файлов, основное внимание уделяется доменам, IP-адресам и хешам, а также тому, как они связаны друг с другом.

Одной из его главных особенностей является... Информационный поток инфраструктуры C2, которая заблаговременно выявляет и проверяет серверы управления и контроля до того, как они будут подвергнуты массовым атакам, благодаря масштабному сканированию Интернета.

Платформа выполняет непрерывный мониторинг доступных сервисовсертификаты, HTTP-заголовки и другие видимые извне элементы используются для выявления моделей поведения злоумышленников.

Благодаря таким функциям, как IOC Hunter, это позволяет начиная с конкретного показателя (домен, IP-адрес, хеш) и изучите связанную инфраструктуру: открытые каталоги, общие сертификаты, подозрительные заголовки и т. д.

OPSWAT MetaDefender Cloud как инструмент для поиска угроз.

Помимо своих возможностей в качестве многодвижкового сканера, MetaDefender Cloud занимает прочное положение на рынке как... инструмент для поиска угроз путем интеграции данных от нескольких поставщиков услуг безопасности, отзывов пользователей и возможностей корреляции.

Платформа использует свои более чем 20 антивирусных движков а также другие уровни анализа для уменьшения количества ложных срабатываний, улучшения времени реагирования и упрощения приоритизации оповещений в корпоративной среде.

Его подход, основанный на сотрудничестве, позволяет пользователям Пометка и комментирование файлов, IP-адресов или доменов.Это позволяет постоянно совершенствовать алгоритмы обнаружения и поддерживать систему в соответствии с новейшими угрозами.

Песочница CAPE

CAPE Sandbox (CAPEv2) — это эволюция предыдущих проектов, таких как Cuckoo Sandbox, и он стал Очень мощный инструмент для динамического анализа вредоносного ПО.Идеально подходит для лабораторий и групп реагирования.

Его главная сила заключается в сочетании статический и динамический анализ для извлечения внутренних конфигураций, распаковки скрытых полезных нагрузок и обнаружения методов обхода защиты, которые часто остаются незамеченными при чисто статическом анализе.

CAPEv2 способен осуществлять мониторинг. Вызовы API, сетевой трафик, изменения файловой системы и память.Создание очень подробных отчетов о поведении вредоносного ПО во время выполнения.

Она также включает в себя систему очистки, управляемую Правила YARA и другие механизмычто помогает сопоставлять образцы с методами противодействия «песочнице» или более совершенными способами маскировки.

ЗлоупотреблениеIPDB

AbuseIPDB — это база данных, созданная на основе сотрудничества. репутация IP-адреса которая собирает сообщения о вредоносной активности, поступающие от пользователей, компаний и автоматизированных сервисов со всего мира.

Любой человек или система могут Сообщайте об IP-адресах, с которых осуществляются атаки.Попытки взлома методом перебора паролей, спам, вредоносные сканирования или другое подозрительное поведение способствуют повышению качества базы данных.

Такой подход, основанный на взаимодействии с сообществом, гарантирует сохранность базы данных. очень хорошо осведомлен о реальной вредоносной деятельностиЭто выходит за рамки простых статических списков, созданных в лаборатории, и делает его ценным инструментом для блокировки или фильтрации входящего трафика.

Его API упрощает интеграцию этой информации о репутации в различные системы. межсетевые экраны, SIEM, WAF или собственные скриптычтобы решения о блокировке или оповещении могли основываться на расширенных данных об истории каждого IP-адреса.

Учитывая все вышесказанное, VirusTotal и Jotti остаются двумя очень полезными инструментами для специфического анализа файлов, но они вписываются в гораздо более широкую картину, где многодвижковые сканеры, платформы для обмена образцами, продвинутые песочницы и анализ вредоносной инфраструктуры дополняют друг друга, предлагая гораздо более полное и действенное представление о текущих угрозах.