VirusTotal vs Jotti: kompletné porovnanie a skutočné alternatívy

Informatec Digital » Zdroje » VirusTotal vs Jotti: kompletné porovnanie a skutočné alternatívy

Keď o tom hovoríme analyzovať podozrivé súbory na prítomnosť škodlivého softvéruV rozhovoroch sa vždy objavia dve mená: VirusTotal a Jotti. Sú to overené služby, ktoré hojne využívajú domáci používatelia aj bezpečnostní technici a analytici, ktorí potrebujú rýchly druhý názor na súbor stiahnutý z internetu alebo prijatý e-mailom.

Hoci sa však na prvý pohľad môžu zdať takmer identické nástrojeRealita je taká, že existujú značné rozdiely v antivírusových engine, typoch skenovania, maximálnej veľkosti súborov, úrovni detailov hlásení a dokonca aj v prístupe služby (pokročilejší alebo jednoduchší). Okrem toho sa ekosystém rozrástol a dnes existuje mnoho alternatív, ktoré stoja za preskúmanie, aby sa predišlo spoliehaniu sa na jednu platformu.

Prečo sú online skenery stále užitočné

V systémoch ako Windows, ktoré majú Nainštalovaný a aktualizovaný rezidentný antivírus Nie je to voliteľné, je to nevyhnutnosť. V skutočnosti samotný Microsoft integruje do systému program Windows Defender, ktorý ponúka základnú ochranu v reálnom čase bez toho, aby sme museli robiť žiadne ďalšie kroky.

Napriek tomu má veľa používateľov stále určitú nedôveru k programu Windows Defender a rozhodnú sa preň bezpečnostné riešenia tretích strán od zavedených značiek, ktoré sú na trhu už roky. Tento hlavný antivírus zvyčajne monitoruje počítač na pozadí, ale nie vždy chceme inštalovať ďalší program len na kontrolu konkrétneho súboru.

V každodennom živote je veľmi praktické vedieť robiť Analýza jedného alebo viacerých súborov na požiadanie priamo z prehliadačabez inštalácie a bez dotyku systémových nastavení. Tu prichádzajú na rad služby ako VirusTotal alebo Jotti, ktoré vám umožňujú nahrať súbor a skontrolovať ho vo viacerých antivírusových engine naraz.

Okrem plánovaných kontrol antivírusového programu sa odporúča vykonávať kontrolu aj pravidelne. dôkladnejšia kontrola počítačaAle keď nás znepokojuje konkrétny súbor (príloha, stiahnutý spustiteľný súbor, pochybný dokument), tieto online skenery ponúkajú rýchly a veľmi pohodlný druhý názor.

Čo je VirusTotal a ako funguje?

V priebehu rokov sa VirusTotal stal svetová referencia v analýze súborov a URL adries Z webu. Patrí do ekosystému Google a integruje sa do všetkých druhov pracovných postupov: od nahrávania jedného súboru používateľmi až po automatizáciu dotazov tímami SOC prostredníctvom API.

Najväčšou silnou stránkou VirusTotal je, že Kombinuje viac ako 70 antivírusových nástrojov a bezpečnostných nástrojov analyzovať odoslanú položku. To znamená, že sa neobmedzuje na jedno riešenie, ale testuje súbor, URL adresu, doménu alebo IP adresu pomocou širokej škály nezávislých technológií, aby sa zvýšila šanca na detekciu.

Pre používateľa je proces veľmi jednoduchý: stačí nahrať súbor alebo vložiť URL, doména, IP alebo hashPočkajte niekoľko sekúnd a pozrite si podrobnú správu, ktorá ukazuje, ktoré vyhľadávače ho označia ako škodlivý, ktoré ho považujú za čistý a aký typ hrozby, ak nejaká, bol zistený.

Ďalšou veľmi silnou vlastnosťou je jej obrovská historická databáza vzoriekVirusTotal ukladá a organizuje analyzované súbory, čo vám umožňuje prezerať si staršie vzorky a sledovať, ako sa detekcie vyvíjali a aké ďalšie informácie sa v priebehu času vygenerovali.

Platforma tiež obsahuje veľmi aktívna komunita ktorý komentuje, označuje a obohacuje vzorky o kontext: rodiny škodlivého softvéru, známe kampane, súvisiace indikátory atď. Tento aspekt spolupráce pridáva k správam obrovskú pridanú hodnotu.

Nevýhodou je, že bezplatná verzia má obmedzenia veľkosti súboru ktoré je možné nahrať a pri používaní rozhrania API. Ďalším citlivým bodom je súkromie: mnohí používatelia sa necítia pohodlne nahrávanie citlivých súborov s vedomím, že sa môžu zdieľať s komunitou a bezpečnostnými spoločnosťami.

Čo je Jotti a ako sa líši od VirusTotal?

Jottiho kontrola škodlivého softvéru je oveľa jednoduchšia webová služba určená pre tých, ktorí chcú rýchlo skontrolovať súbor Bez komplikácií. Koncept je podobný: nahráte súbor a ten je analyzovaný niekoľkými antivírusovými nástrojmi súčasne.

Podľa vlastných informácií služby Jotti umožňuje Nahrajte až 5 súborov narazS maximálnou veľkosťou súboru 250 MB v najnovšej konfigurácii (niektoré staršie porovnania uvádzali 20 MB, ale súčasný limit je podstatne väčší) je praktický pre stredne veľké dokumenty, spustiteľné súbory alebo kompresné programy.

Počet enginov je výrazne nižší ako vo VirusTotal: Jotti pracuje s medzi 15 a 20 rôznymi antivírusovými programamičo je v praxi stále dobrý „druhý názor“, ale zjavne ponúka menšiu rozmanitosť ako viac ako 70 od VirusTotal.

Jednou z jeho výhod je rozhranie: Jotti vyniká... Veľmi čistá a priama prezentáciaIdeálne pre netechnických používateľov, ktorí chcú len vedieť, či súbor „zapácha podozrivo“ alebo nie. Správa je kratšia a menej náročná ako od VirusTotal.

Služba je však zameraná výlučne na analyzovať voľné súboryNeumožňuje skenovanie URL adries, domén ani IP adries, čo je súčasťou dennej rutiny s VirusTotal pre analytikov a administrátorov.

Samotná služba varuje, že aj keď používa niekoľko motorov, Neexistuje 100% ochranaOkrem toho sa všetky odoslané súbory zdieľajú so zúčastnenými antivírusovými spoločnosťami s cieľom zlepšiť ich podpisy a detekčné mechanizmy, čo je potrebné zvážiť, ak pracujete s vysoko citlivým obsahom.

Podobnosti medzi VirusTotal a Jotti

Z pohľadu bežného používateľa majú VirusTotal a Jotti niekoľko základných charakteristík, ktoré vysvetľujú, prečo sa o nich často hovorí spolu. online skenery škodlivého softvéru.

V prvom rade sú obaja bezplatné služby prístupné z vášho prehliadačaNa základné používanie nie je potrebné vytvárať si účet ani inštalovať ďalší softvér. Stačí navštíviť webovú stránku, vybrať súbor a počkať na výsledok.

Obe sú založené na myšlienke používať viacero antivírusových jadrí súčasne aby sa zvýšila pravdepodobnosť odhalenia hrozieb. Namiesto spoliehania sa na názor jedného dodávateľa ponúkajú akýsi „hlas“ medzi viacerými enginmi.

Tiež súhlasia s tým, že sú analytické nástroje na požiadanieNie sú náhradou za antivírusový softvér pre stolné počítače. Neposkytujú ochranu v reálnom čase, neblokujú sťahovanie ani nemonitorujú procesy; skenujú iba to, čo im manuálne odošlete.

VirusTotal aj Jotti ponúkali alebo naďalej ponúkajú desktopoví klienti Pre uľahčenie odosielania súborov bez nutnosti otvárania prehliadača, čo je užitočné pre tých, ktorí často analyzujú súbory a nechcú zakaždým opakovať ten istý manuálny proces.

Kľúčové rozdiely: Kde vyhráva VirusTotal a kde je Jotti presvedčivejší?

Hoci je koncept podobný, pri porovnaní VirusTotal a Jotti sa objavujú dôležité rozdiely v nástrojoch, možnostiach analýzy a úrovni detailov, vďaka čomu je každý z nich vhodnejší pre určitý typ používateľa.

Prvý zásadný rozdiel spočíva v počet a rozmanitosť antivírusových nástrojovPorovnávacie testy ukázali, že zatiaľ čo Jotti používal približne 19 enginov, VirusTotal ich používal 40, 50 alebo viac v závislosti od éry, vrátane populárnych riešení ako McAfee, Symantec alebo Trend Micro, ktoré Jotti nepoužíva.

Ďalšou oblasťou, kde má VirusTotal výhodu, je možnosti skenovaniaNie je obmedzený len na súbory: umožňuje vám tiež analyzovať URL adresy, domény, IP adresy, hashe a dokonca extrahovať informácie o správaní, čo je veľmi užitočné na kontrolu odkazov pred ich stiahnutím. návšteva potenciálne nebezpečných webových stránok.

Pokiaľ ide o bezpečnosť samotného pripojenia, VirusTotal ponúka nahrávanie súborov pomocou SSL šifrovať prenos počas analýzy. Jotti v mnohých svojich fázach nemal takúto úroveň viditeľných možností, čo môže znepokojovať používateľov, ktorí si veľmi chránia dôvernosť toho, čo nahrávajú.

Na druhej strane, Jotti získava body práve vďaka svojmu jednoduchosť a prehľadnosťNezahlcuje vás desiatkami kariet, indikátorov ani pokročilých metrík; zameriava sa na zobrazenie toho, ktoré vyhľadávače označia súbor ako podozrivý a nič viac, čo mnohí ocenia, ak chcú len rýchlu odpoveď.

Rôzne porovnávacie analýzy zvyčajne dospejú k záveru, že ak hľadáte to, čo maximálne pokrytie a všestrannosťVirusTotal vyhráva s veľkým náskokom. Jotti je na druhej strane dobre umiestnený ako doplnková služba, rýchly druhý názor po spustení VirusTotal alebo použití lokálneho antivírusu.

VirusTotal po integrácii do služby Google Threat Intelligence

V posledných rokoch sa situácia pre profesionálnych používateľov služby VirusTotal zmenila, keďže sa táto služba čoraz viac integruje do... Spravodajstvo o hrozbách od spoločnosti Google (GTI), rad produktov kybernetickej inteligencie od spoločnosti Google zameraných na firmy.

Vďaka tejto integrácii sú mnohé funkcie, ktoré boli predtým dostupné v voľné alebo stredne pokročilé úrovne Prešli na vyššie platobné modely a rôzni odborníci sa na špecializovaných fórach vyjadrili k výraznému zvýšeniu cien za pokročilý prístup k údajom a prehľadom.

Táto zmena prichádza v obzvlášť chúlostivej chvíli, keď neustály nárast zraniteľností a hroziebSprávy o bezpečnostných hrozbách odhadujú nárast odhalených CVE o viac ako 15 % v porovnaní s predchádzajúcimi rokmi, čo si vyžaduje viac údajov, viac kontextu a viac automatizácie.

Pre mnohé tímy kybernetickej bezpečnosti, lovcov hrozieb a SOC sa útočisko nachádza len v nahrávania z komunity a antivírusové detekcie V rámci VirusTotal to už nestačí a ani to nie je vždy nákladovo efektívne, ak sa chcete ponoriť hlbšie do problematiky pomocou pokročilých API.

Toto všetko podnietilo hľadanie praktické a doplnkové alternatívy ktoré spĺňajú potreby v oblasti spravodajstva o hrozbách, korelácie indikátorov a automatizácie bez toho, aby boli 100 % závislé od ekosystému VirusTotal/GTI.

Výkonné alternatívy k VirusTotal (okrem Jotti)

Hoci Jotti je zaujímavou alternatívou na príležitostné použitie, existuje celá škála... platformy, ktoré pokrývajú špecifické aspekty Za zváženie stojí analýza škodlivého softvéru, zdieľanie vzoriek, reputácia IP adries alebo mapovanie škodlivej infraštruktúry.

Metadefender Cloud (OPSWAT)

Metadefender Cloud od spoločnosti OPSWAT je cloudové riešenie, ktoré nielen ponúka Viacúrovňová analýza v štýle VirusTotalale pridáva ďalšie vrstvy zamerané na prevenciu, ako je dezinfekcia a sanitácia súborov.

Služba umožňuje skenovanie súbory, URL adresy, IP adresy a hashe S viac ako 20 – 30 antivírusovými nástrojmi, ktoré vyhľadávajú známe hrozby aj podozrivé správanie, je cieľom maximalizovať detekciu kombináciou rôznych technológií.

Jeho hlavnou črtou je Odzbrojenie a rekonštrukcia obsahu (CDR)Vezme súbor, odstráni potenciálne nebezpečné časti (makrá, skripty, vložený obsah) a vygeneruje použiteľnú „čistú“ verziu, a to aj v prípadoch, keď malvér ešte nebol explicitne identifikovaný.

Metadefender Cloud tiež ponúka skenovanie zraniteľností v súborochNapríklad detekciou zastaraných knižníc alebo komponentov so známymi exploitmi, čo pridáva ďalšiu vrstvu zabezpečenia k bežnej antivírusovej analýze.

Vďaka svojmu API a integráciám je to dobrá voľba pre organizácie, ktoré chcú automatizovať sanitáciu prichádzajúcich súborov (e-mail, zákaznícke portály, interné prenosy) predtým, ako sa dostanú ku koncovému používateľovi.

Jottiho kontrola škodlivého softvéru ako jednoduchá alternatíva

Okrem priameho porovnania s VirusTotal zostáva Jotti vynikajúcim prínosom pre rýchle a bezplatné skenovanie v domácom prostredí alebo malých podnikoch, ktoré nevyžadujú rozsiahle nasadenia.

Jeho hlavným lákadlom je použitie viacero antivírusových jadrí bežiacich paralelneToto zlepšuje mieru detekcie v porovnaní so slepým spoliehaním sa na jeden desktopový produkt a dokáže odhaliť hrozby, ktoré by jeden engine prehliadol.

Jeho limit veľkosti (v súčasnosti až 250 MB na súbor s možnosťou odoslania 5 súborov narazVďaka tomu je praktický pre väčšinu bežných prípadov, od inštalátorov až po komprimované súbory alebo pomerne ťažké dokumenty.

Prístup k rozhraniu je veľmi minimalistický, s obyčajný panel bez rozšírených možností to môže byť mätúce. Je to ideálne pre tých, ktorí chcú nahrať súbor, zobraziť zoznam vyhľadávačov a rýchlo sa rozhodnúť, či danému súboru dôverujú alebo nie.

Pre analytikov alebo pokročilých používateľov funguje Jotti dobre ako druhý alebo tretí zdroj overenia po VirusTotal, najmä v procesoch, kde chcete porovnať výsledky medzi rôznymi online službami.

VirSCAN.org

VirSCAN.org je ďalšou klasikou multi-antivírusové skenery na webeUmožňuje vám nahrávať súbory a kontrolovať ich pomocou niekoľkých nástrojov od rôznych výrobcov, čím poskytuje prierezový pohľad na možné infekcie.

Dlho sa mu darilo Limit 20 MB na súborToto je o niečo konzervatívnejšie ako Jottiho súčasné čísla, ale postačujúce pre väčšinu spustiteľných súborov a kancelárskych dokumentov bežne používaných v analytických scenároch.

Ich prístup je podobný: ísť hore, počkať na výsledok a skontrolujte, ktoré motory čo detekujúZameriava sa menej na ultra-použiteľnosť a viac na ponuku funkčnej a bezplatnej služby užitočnej pre druhý názor.

Analýza Intezera

Intezer Analyze prináša nový pohľad na tradičný prístup a zameriava sa na to, čo nazývajú „Analýza genetického kódu“Namiesto spoliehania sa výlučne na antivírusové kontroly rozoberie súbor a porovná fragmenty kódu s rozsiahlymi databázami škodlivého softvéru a legitímneho softvéru.

Týmto spôsobom je schopný detekcia opätovného použitia kódu v rôznych rodinách škodlivého softvéru, vidieť podobnosti s predchádzajúcimi vzorkami a zoskupovať vzorky podľa pôvodu, čo je nesmierne užitočné pre výskumníkov a spravodajské tímy.

Správy spoločnosti Intezer poskytujú kontext o pravdepodobnom pôvode kóduktoré časti sú nové, ktoré sú prevzaté z iných trójskych koní alebo nástrojov a ako vzorka zapadá do známych kampaní, čo uľahčuje atribučnú prácu.

Okrem toho sa dobre integruje prostredníctvom API na automatizáciu odosielaní a koreláciíPreto je to silná alternatíva pre obchodné a výskumné prostredia, ktoré sa snažia prekročiť typický rámec „infikovaný/neinfikovaný“.

AlienVault (úroveň modrá)

AlienVault, teraz pod značkou Level Blue, nie je len nástroj na analýzu škodlivého softvéru, ale jednotná bezpečnostná platforma ktorý integruje viacero funkcií do jedného produktu.

Ich návrh sa točí okolo Jednotná správa zabezpečenia (USM)Kombinácia SIEM, vyhľadávania aktív, skenovania zraniteľností a IDS plus detekcie škodlivého softvéru a korelácie udalostí.

Jednou z kľúčových vlastností AlienVault je jeho kolaboratívne spravodajstvo o hrozbách, ktorý je zásobovaný komunitou a komerčnými zdrojmi a ktorý je priebežne aktualizovaný s cieľom identifikovať podozrivé správanie a prebiehajúce kampane.

Vďaka svojmu API a schopnosti integrácie s inými riešeniami je atraktívnou alternatívou pre organizácie, ktoré chcú vnímať malvér len ako ďalší dielik skladačky v rámci komplexného bezpečnostného rámca, nie ako niečo izolované.

MalwareBazar

MalwareBazar, ktorý využíva služby abuse.ch a Spamhaus, je platforma na zdieľanie a sťahovanie vzoriek malvéruJe vysoko zameraný na výskumníkov, výrobcov bezpečnostných produktov a tímy, ktoré potrebujú nový materiál pre svoje analýzy.

Jednou z jeho výhod oproti iným platformám je, že Eliminuje to mnohé vstupné bariéry.Neexistujú žiadne zložité registračné požiadavky ani príliš prísne limity sťahovania, vďaka čomu je každodenná výskumná práca plynulejšia.

Platforma sa zameriava na skutočné vzorky a vyhýba sa neškodné súbory, adware alebo potenciálne nežiaduce programy (PUP) maximalizovať hodnotu zdieľaného obsahu. To pomáha tým, ktorí analyzujú rodiny škodlivého softvéru, botnety alebo konkrétne kampane.

MalwareBazar ponúka API, ktoré umožňuje automatizovať sťahovanie a integráciu vzoriek v analytických postupoch, sandboxingu alebo obohacovaní informácií, ako aj integráciách so SIEM a inými riešeniami.

Hunt.io

Hunt.io je viac zameraný na vyhľadávanie hrozieb a spravodajské informácie o škodlivej infraštruktúre a nie analýzu samotných súborov. Zameriava sa na domény, IP adresy a hash hodnoty a na to, ako navzájom súvisia.

Jednou z jeho hviezdnych vlastností je jeho Zdroj infraštruktúry C2, ktorá proaktívne identifikuje a overuje veliteľské a riadiace servery skôr, ako dôjde k ich masívnemu zneužitiu, a to vďaka rozsiahlym internetovým kontrolám.

Platforma vykonáva nepretržité monitorovanie exponovaných služieb, certifikáty, hlavičky HTTP a ďalšie externe viditeľné prvky na detekciu vzorcov používania škodlivými aktérmi.

Vďaka funkciám ako IOC Hunter to umožňuje vychádzajúc z konkrétneho ukazovateľa (doména, IP adresa, hash) a preskúmať súvisiacu infraštruktúru: odhalené adresáre, zdieľané certifikáty, podozrivé hlavičky atď.

OPSWAT MetaDefender Cloud ako nástroj na lov

Okrem svojich schopností ako viacúčelového skenera je MetaDefender Cloud dobre umiestnený ako nástroj na lov hrozieb integráciou údajov od viacerých poskytovateľov bezpečnosti, spätnej väzby od používateľov a korelačných funkcií.

Platforma využíva viac ako 20 antivírusových jadrí a ďalšie vrstvy analýzy na zníženie počtu falošne negatívnych výsledkov, zlepšenie reakčných časov a uľahčenie prioritizácie upozornení v podnikových prostrediach.

Jeho kolaboratívny prístup, v rámci ktorého môžu používatelia Označovanie a komentovanie súborov, IP adries alebo doménUmožňuje neustále dolaďovanie detekčných algoritmov a udržiavanie systému v súlade s najnovšími hrozbami.

Pieskovisko CAPE

CAPE Sandbox (CAPEv2) je vývojom predchádzajúcich projektov, ako napríklad Cuckoo Sandbox, a stal sa... Veľmi výkonný nástroj na dynamickú analýzu škodlivého softvéru, ideálne pre laboratóriá a zásahové tímy.

Jeho najväčšia sila spočíva v kombinácii statická a dynamická analýza extrahovať vnútorné konfigurácie, rozbaliť skryté užitočné zaťaženia a objaviť techniky obchádzania, ktoré si v čisto statických analýzach často nevšimnú.

CAPEv2 je schopný monitorovať Volania API, sieťová prevádzka, zmeny súborového systému a pamäťgenerovanie veľmi podrobných správ o správaní škodlivého softvéru počas jeho spustenia.

Zahŕňa tiež čistiaci systém riadený Pravidlá YARA a ďalšie mechanizmyčo pomáha konfrontovať vzorky s technikami proti pieskovitému priestoru alebo pokročilejšími pokusmi o maskovanie.

Zneužívanie IPDB

AbuseIPDB je kolaboratívna databáza Reputácia IP adresy ktorá zhromažďuje hlásenia o škodlivej aktivite odoslané používateľmi, spoločnosťami a automatizovanými službami z celého sveta.

Akákoľvek osoba alebo systém môže Nahlásiť IP adresy, ktoré vykonávajú útokypokusy o hrubú silu, spam, zneužívajúce skenovanie alebo iné podozrivé správanie, čo prispieva k zlepšeniu kvality databázy.

Tento komunitný prístup zabezpečuje, že databáza zostane veľmi aktuálne informácie o skutočnej škodlivej aktivite, nad rámec jednoduchých statických zoznamov vytvorených v laboratóriu, a robí ho cenným na blokovanie alebo filtrovanie prichádzajúcej prevádzky.

Jeho API umožňuje jednoduchú integráciu týchto informácií o reputácii do firewally, SIEM, WAF alebo vlastné skriptyaby rozhodnutia o blokovaní alebo upozorneniach mohli byť podporené obohatenými údajmi o histórii každej IP adresy.

Vzhľadom na všetky vyššie uvedené skutočnosti zostávajú VirusTotal a Jotti dvoma veľmi užitočnými nástrojmi na špecifickú analýzu súborov, ale zapadajú do oveľa širšieho obrazu, kde sa viacúčelové skenery, platformy na zdieľanie vzoriek, pokročilé sandboxy a inteligencia škodlivej infraštruktúry navzájom dopĺňajú a ponúkajú oveľa bohatší a akčnejší pohľad na aktuálne hrozby.