VirusTotal proti Jottiju: popolna primerjava in resnične alternative

Informatec Digital » Viri » VirusTotal proti Jottiju: popolna primerjava in resnične alternative

Ko bomo govorili analizira sumljive datoteke za zlonamerno programsko opremoV pogovorih se vedno pojavita dve imeni: VirusTotal in Jotti. Gre za izkušene storitve, ki jih pogosto uporabljajo tako domači uporabniki kot varnostni tehniki in analitiki, ki potrebujejo hitro drugo mnenje o datoteki, preneseni z interneta ali prejeti po e-pošti.

Vendar, čeprav se na prvi pogled morda zdijo skoraj enaka orodjaResničnost je, da obstajajo znatne razlike v protivirusnih programih, vrstah skeniranja, največji velikosti datotek, ravni podrobnosti poročil in celo pristopu storitve (bolj napreden ali enostavnejši). Poleg tega se je ekosistem razširil in danes obstaja veliko alternativ, ki jih je vredno raziskati, da se izognemo zanašanju na eno samo platformo.

Zakaj so spletni skenerji še vedno uporabni

V sistemih, kot je Windows, ki imajo Nameščen in posodobljen rezidenčni antivirus To ni neobvezno, ampak nujno. Pravzaprav Microsoft sam integrira Windows Defender v sistem, ki ponuja osnovno zaščito v realnem času brez kakršnih koli nadaljnjih ukrepov z naše strani.

Kljub temu mnogi uporabniki še vedno nekoliko nezaupajo do programa Windows Defender in se odločijo zanj. varnostne rešitve tretjih oseb od uveljavljenih blagovnih znamk, ki so na trgu že leta. Ta glavni protivirusni program običajno spremlja računalnik v ozadju, vendar ne želimo vedno namestiti drugega programa samo za preverjanje določene datoteke.

V vsakdanjem življenju je zelo praktično, da lahko narediš Analiza ene ali več datotek na zahtevo neposredno iz brskalnikabrez namestitve in brez dotikanja sistemskih nastavitev. Tukaj pridejo na vrsto storitve, kot sta VirusTotal ali Jotti, ki omogočajo nalaganje datoteke in njeno preverjanje z več protivirusnimi programi hkrati.

Poleg načrtovanih pregledov protivirusnega programa je priporočljivo, da pregled izvajate tudi občasno. temeljitejši pregled računalnikaKo pa nas skrbi določena datoteka (priloga, prenesena izvedljiva datoteka, vprašljiv dokument), ti spletni skenerji ponujajo hitro in zelo priročno drugo mnenje.

Kaj je VirusTotal in kako deluje?

Z leti je VirusTotal postal svetovna referenca za analizo datotek in URL-jev Iz spleta. Pripada Googlovemu ekosistemu in se integrira v vse vrste delovnih procesov: od nalaganja ene same datoteke s strani uporabnikov do avtomatizacije poizvedb s strani ekip SOC prek API-ja.

Največja moč VirusTotala je, da Združuje več kot 70 protivirusnih mehanizmov in varnostnih orodij analizirati predloženi element. To pomeni, da ni omejeno na eno samo rešitev, temveč datoteko, URL, domeno ali IP-naslov preizkusi s širokim naborom neodvisnih tehnologij, da se povečajo možnosti zaznavanja.

Za uporabnika je postopek zelo preprost: samo naložite datoteko ali prilepite URL, domena, IP ali zgoščena številkaPočakajte nekaj sekund in preglejte podrobno poročilo, ki prikazuje, kateri iskalniki ga označijo kot zlonamernega, kateri ga imajo za čistega in kakšna vrsta grožnje, če sploh, je bila zaznana.

Druga zelo močna lastnost je njena ogromna zgodovinska baza vzorcevVirusTotal shranjuje in organizira analizirane datoteke, kar vam omogoča, da si ogledate stare vzorce in vidite, kako so se zaznave razvijale in katere dodatne informacije so bile ustvarjene skozi čas.

Platforma ima tudi zelo aktivna skupnost ki komentira, označuje in bogati vzorce s kontekstom: družine zlonamerne programske opreme, znane kampanje, povezani kazalniki itd. Ta vidik sodelovanja doda poročilom ogromno dodatno vrednost.

Slaba stran brezplačne različice je, da ima omejitve velikosti datotek ki jih je mogoče naložiti in pri uporabi API-ja. Druga občutljiva točka je zasebnost: mnogi uporabniki se ne počutijo udobno nalaganje občutljivih datotek vedoč, da jih je mogoče deliti s skupnostjo in varnostnimi podjetji.

Kaj je Jotti in kako se razlikuje od VirusTotal?

Jottijev pregled zlonamerne programske opreme je veliko preprostejša spletna storitev, zasnovana za tiste, ki želijo hitro preveri datoteko Brez zapletanja. Koncept je podoben: naložite datoteko in jo vzporedno analizira več protivirusnih programov.

Po lastnih informacijah službe Jotti dovoljuje Naložite do 5 datotek hkratiZ največjo velikostjo datoteke 250 MB v najnovejši konfiguraciji (nekatere starejše primerjave so omenjale 20 MB, vendar je trenutna omejitev precej večja), je to praktično za srednje velike dokumente, izvedljive datoteke ali programe za stiskanje.

Število motorjev je bistveno manjše kot v VirusTotal: Jotti deluje z med 15 in 20 različnimi protivirusnimi programikar je v praksi še vedno dobro "drugo mnenje", vendar očitno ponuja manj raznolikosti kot več kot 70 od VirusTotal.

Ena od njegovih prednosti je vmesnik: Jotti izstopa po Zelo čista in neposredna predstavitevIdealno za netehnične uporabnike, ki želijo le vedeti, ali datoteka "smrdi sumljivo" ali ne. Poročilo je krajše in manj obsežno kot poročilo VirusTotal.

Vendar pa je storitev osredotočena izključno na analizirati ohlapne datotekeNe omogoča skeniranja URL-jev, domen ali IP-naslovov, kar je del vsakodnevne rutine z VirusTotal za analitike in skrbnike.

Storitev sama opozarja, da tudi če uporablja več motorjev, Ni 100-odstotne zaščitePoleg tega se vse poslane datoteke delijo s sodelujočimi protivirusnimi podjetji, da se izboljšajo njihovi podpisi in mehanizmi zaznavanja, kar je treba upoštevati, če delate z zelo občutljivo vsebino.

Podobnosti med VirusTotal in Jotti

Z vidika povprečnega uporabnika si VirusTotal in Jotti delita številne osnovne značilnosti, ki pojasnjujejo, zakaj se ju v razpravah pogosto omenja skupaj. spletni skenerji zlonamerne programske opreme.

Najprej sta oba brezplačne storitve, dostopne iz vašega brskalnikaZa osnovno uporabo ni potrebno ustvarjanje računa niti nameščanje dodatne programske opreme. Preprosto obiščite spletno mesto, izberite datoteko in počakajte na rezultat.

Oboje temelji na ideji hkrati uporabljajte več protivirusnih mehanizmov da bi povečali verjetnost odkrivanja groženj. Namesto da bi se zanašali na mnenje enega samega prodajalca, ponujajo nekakšno "glasovanje" med več motorji.

Strinjajo se tudi, da so orodja za analitiko na zahtevoNiso nadomestilo za protivirusno programsko opremo za namizne računalnike. Ne zagotavljajo zaščite v realnem času, ne blokirajo prenosov ali spremljajo procesov; skenirajo le tisto, kar jim ročno pošljete.

Tako VirusTotal kot Jotti sta ponujala ali še vedno ponujata namizni odjemalci Za lažje pošiljanje datotek brez odpiranja brskalnika, kar je uporabno za tiste, ki pogosto analizirajo datoteke in ne želijo vsakič ponavljati istega ročnega postopka.

Ključne razlike: Kje zmaga VirusTotal in kje je Jotti bolj prepričljiv?

Čeprav je koncept podoben, se pri primerjavi VirusTotal in Jotti pojavijo pomembne razlike v mehanizmih, možnostih analize in ravni podrobnosti, zaradi česar je vsak od njih bolj primeren za določeno vrsto uporabnika.

Prva velika razlika je v število in raznolikost protivirusnih motorjevPrimerjalni testi so pokazali, da je Jotti uporabljal približno 19 programskih orodij, medtem ko jih je VirusTotal dosegel 40, 50 ali več, odvisno od obdobja, vključno s priljubljenimi rešitvami, kot so McAfee, Symantec ali Trend Micro, ki jih Jotti ne vključuje.

Drugo področje, kjer ima VirusTotal prednost, je v možnosti skeniranjaNi omejeno na datoteke: omogoča tudi analizo URL-jev, domen, IP-naslovov, zgoščevalnih vrednosti in celo pridobivanje vedenjskih podatkov, kar je zelo uporabno za preverjanje povezav pred njihovim prenosom. obisk potencialno nevarnih spletnih mest.

Kar zadeva varnost same povezave, VirusTotal ponuja nalaganje datotek z uporabo SSL-ja šifrirati prenos med analizo. Jotti v mnogih svojih fazah ni imel te ravni vidnih možnosti, kar lahko skrbi uporabnike, ki zelo varujejo zaupnost naloženih podatkov.

Po drugi strani pa Jotti pridobiva točke prav zaradi svojega preprostost in jasnostNe preobremeni vas z ducati zavihkov, indikatorjev ali naprednih meritev; osredotoča se na prikaz, kateri iskalniki označijo datoteko kot sumljivo, in malo drugega, kar bodo mnogi cenili, če želijo le hiter odgovor.

Različne primerjalne analize običajno zaključijo, da če iščete tisto, kar je maksimalna pokritost in vsestranskostVirusTotal zmaga z veliko prednostjo. Jotti pa je dobro pozicioniran kot dopolnilna storitev, hitro drugo mnenje po zagonu VirusTotala ali uporabi lokalnega protivirusnega programa.

VirusTotal po integraciji v Google Threat Intelligence

V zadnjih letih se je okolje za profesionalne uporabnike VirusTotala spremenilo, saj je storitev postala vse bolj integrirana v Googlova obveščevalna služba za grožnje (GTI), Googlova linija izdelkov za kibernetsko obveščanje, namenjena podjetjem.

S to integracijo so številne funkcije, ki so bile prej na voljo v proste ali srednje stopnje Prešli so na višje plačilne modele, različni strokovnjaki pa so na specializiranih forumih komentirali znatno zvišanje cen za napreden dostop do podatkov in poročil.

Ta premik se dogaja v posebej občutljivem trenutku, ko nenehno naraščanje ranljivosti in groženjPoročila o obveščevalnih podatkih o grožnjah so ocenila, da se je število razkritih CVE v primerjavi s prejšnjimi leti povečalo za več kot 15 %, kar zahteva več podatkov, več konteksta in več avtomatizacije.

Za številne ekipe za kibernetsko varnost, lovce na grožnje in SOC-je je zatočišče le v nalaganja skupnosti in zaznavanje protivirusnih programov Znotraj VirusTotala to ni več zadostno in ni vedno stroškovno učinkovito, če želite podrobneje raziskati z uporabo naprednih API-jev.

Vse to je spodbudilo iskanje praktične in dopolnilne alternative ki izpolnjujejo potrebe po obveščanju o grožnjah, korelaciji indikatorjev in avtomatizaciji, ne da bi bili 100-odstotno odvisni od ekosistema VirusTotal/GTI.

Zmogljive alternative VirusTotalu (poleg Jottija)

Čeprav je Jotti zanimiva alternativa za občasno uporabo, obstaja cela vrsta platforme, ki pokrivajo specifične vidike analiza zlonamerne programske opreme, deljenje vzorcev, ugled IP-ja ali kartiranje zlonamerne infrastrukture so vse vredno razmisliti.

Metadefender Cloud (OPSWAT)

Metadefender Cloud podjetja OPSWAT je rešitev v oblaku, ki ne ponuja le Večmotorna analiza v slogu VirusTotalvendar dodaja dodatne plasti, osredotočene na preprečevanje, kot sta dezinfekcija in sanacija datotek.

Storitev omogoča skeniranje datoteke, URL-ji, IP-naslovi in ​​zgoščene vrednosti Z več kot 20–30 protivirusnimi programi, ki iščejo tako znane grožnje kot sumljivo vedenje, je ideja maksimirati zaznavanje z združevanjem različnih tehnologij.

Njegova glavna značilnost je Razorožitev in rekonstrukcija vsebine (CDR)Vzame datoteko, odstrani potencialno nevarne dele (makre, skripte, vdelano vsebino) in ustvari uporabno »čisto« različico, tudi v primerih, ko zlonamerna programska oprema še ni bila izrecno identificirana.

Metadefender Cloud ponuja tudi skeniranje ranljivosti znotraj datotekNa primer z odkrivanjem zastarelih knjižnic ali komponent z znanimi izkoriščanji, kar doda dodatno plast varnosti zgolj protivirusni analizi.

Zaradi svojega API-ja in integracij je dobra možnost za organizacije, ki želijo avtomatizirati sanitarije dohodnih datotek (e-pošta, portali za stranke, interni prenosi), preden dosežejo končnega uporabnika.

Jottijevo skeniranje zlonamerne programske opreme kot preprosta alternativa

Poleg neposredne primerjave z VirusTotalom ostaja Jotti odlična prednost za hitri in brezplačni pregledi v domačih okoljih ali malih podjetjih, ki ne zahtevajo velikih uvedb.

Njegova glavna privlačnost je uporaba več protivirusnih mehanizmov, ki delujejo vzporednoTo izboljša stopnjo zaznavanja v primerjavi s slepim zanašanjem na en sam namizni izdelek in lahko odkrije grožnje, ki bi jih en sam iskalnik spregledal.

Njegova omejitev velikosti (trenutno do 250 MB na datoteko in z možnostjo pošiljanja 5 hkratiZaradi tega je praktičen za večino pogostih primerov, od namestitvenih programov do stisnjenih datotek ali nekoliko težjih dokumentov.

Vmesniški pristop je zelo minimalističen, z navadna plošča brez naprednih možnosti to je lahko zmedeno. Idealno je za tiste, ki želijo naložiti datoteko, si ogledati seznam iskalnikov in se hitro odločiti, ali tej datoteki zaupajo ali ne.

Za analitike ali napredne uporabnike je Jotti primeren kot drugi ali tretji vir preverjanja po VirusTotal, zlasti v procesih, kjer želite primerjati rezultate med različnimi spletnimi storitvami.

VirSCAN.org

VirSCAN.org je še ena klasika večprotivirusni skenerji na spletuOmogoča vam nalaganje datotek in njihovo preverjanje z več mehanizmi različnih proizvajalcev, kar daje prečni pregled morebitnih okužb.

Dolgo časa mu je uspevalo Omejitev 20 MB na datotekoTo je nekoliko bolj konzervativno od Jottijevih trenutnih številk, vendar zadostuje za večino izvedljivih datotek in pisarniških dokumentov, ki se pogosto uporabljajo v analitičnih scenarijih.

Njihov pristop je podoben: pojdi gor, počakaj na rezultat in preverite, kateri motorji kaj zaznajoManj se osredotoča na izjemno uporabnost in bolj na ponujanje funkcionalne in brezplačne storitve, ki je uporabna za drugo mnenje.

Intezerjeva analiza

Intezer Analyze daje nov pogled na tradicionalni pristop in se osredotoča na to, kar imenujejo "Analiza genetske kode"Namesto da se zanaša izključno na protivirusne preglede, razčleni datoteko in primerja fragmente kode z ogromnimi bazami podatkov zlonamerne programske opreme in legitimne programske opreme.

Na ta način je sposoben zaznavanje ponovne uporabe kode v različnih družinah zlonamerne programske opreme, poiščite podobnosti s prejšnjimi vzorci in združite vzorce po rodovih, kar je izjemno koristno za raziskovalce in obveščevalne ekipe.

Poročila podjetja Intezer zagotavljajo kontekst o verjetnem izvoru kodekateri deli so novi, kateri so vzeti iz drugih trojanskih konjev ali orodij in kako se vzorec ujema z znanimi kampanjami, kar olajša delo pripisovanja.

Poleg tega se dobro integrira skozi API-ji za avtomatizacijo oddaj in korelacijZato je močna alternativa za poslovna in raziskovalna okolja, ki želijo preseči tipičen "okužen/neokužen".

AlienVault (modra raven)

AlienVault, ki je zdaj pod blagovno znamko Level Blue, ni le orodje za analizo zlonamerne programske opreme, temveč enotna varnostna platforma ki združuje več zmogljivosti v enem samem izdelku.

Njihov predlog se vrti okoli Poenoteno upravljanje varnosti (USM)Združevanje SIEM, odkrivanja sredstev, skeniranja ranljivosti in IDS ter odkrivanja zlonamerne programske opreme in korelacije dogodkov.

Ena ključnih lastnosti AlienVaulta je njegova skupno obveščanje o grožnjah, ki ga napajajo viri skupnosti in komercialni viri, in se nenehno posodablja za prepoznavanje sumljivega vedenja in tekočih kampanj.

Zaradi svojega API-ja in možnosti integracije z drugimi rešitvami je privlačna alternativa za organizacije, ki želijo zlonamerno programsko opremo videti le kot še en del sestavljanke znotraj celovitega varnostnega okvira, ne kot nekaj izoliranega.

MalwareBazar

MalwareBazar, ki ga poganjata abuse.ch in Spamhaus, je platforma za sodelovanje pri deljevanju in prenosu vzorcev zlonamerne programske opremeNamenjen je predvsem raziskovalcem, proizvajalcem varnostne opreme in ekipam, ki potrebujejo sveže gradivo za svoje analize.

Ena od njegovih prednosti pred drugimi platformami je, da Odpravlja številne ovire za vstop.Ni zapletenih zahtev za registracijo ali pretirano strogih omejitev prenosov, zaradi česar je vsakodnevno raziskovalno delo bolj gladko.

Platforma se osredotoča na resnične vzorce in se izogiba neškodljive datoteke, oglasna programska oprema ali morebitne programske opreme da se maksimizira vrednost deljenega gradiva. To pomaga tistim, ki analizirajo družine zlonamerne programske opreme, botnete ali določene kampanje.

MalwareBazar ponuja API, ki omogoča avtomatizirajte prenos in integracijo vzorcev v analitičnih tokovih, peskovniku ali obogatitvi obveščevalnih podatkov, kot tudi v integracijah s SIEM in drugimi rešitvami.

Hunt.io

Hunt.io je bolj usmerjen k iskanje groženj in obveščanje o zlonamerni infrastrukturi namesto analize samih datotek. Osredotoča se na domene, IP-je in zgoščene vrednosti ter na to, kako so med seboj povezani.

Ena od njegovih glavnih značilnosti je njena Dovod infrastrukture C2, ki proaktivno identificira in preverja strežnike za upravljanje in nadzor, preden so ti množično izkoriščeni, zahvaljujoč obsežnim internetnim pregledom.

Platforma izvaja stalno spremljanje izpostavljenih storitev, potrdila, glave HTTP in druge zunanje vidne elemente za zaznavanje vzorcev uporabe s strani zlonamernih akterjev.

S funkcijami, kot je IOC Hunter, omogoča začenši z določenim kazalnikom (domena, IP, zgoščena vrednost) in raziskati povezano infrastrukturo: izpostavljene imenike, deljena potrdila, sumljive glave itd.

OPSWAT MetaDefender Cloud kot lovsko orodje

Poleg svojih zmogljivosti kot večmehanski skener je MetaDefender Cloud dobro pozicioniran kot orodje za iskanje groženj z integracijo podatkov več ponudnikov varnostnih storitev, povratnih informacij uporabnikov in zmogljivosti korelacije.

Platforma izkorišča več kot 20 protivirusnih motorjev in druge plasti analize za zmanjšanje lažno negativnih rezultatov, izboljšanje odzivnih časov in lažjo določitev prioritet opozoril v poslovnih okoljih.

Njegov sodelovalni pristop, kjer lahko uporabniki Označevanje in komentiranje datotek, IP-jev ali domenOmogoča nenehno izpopolnjevanje algoritmov zaznavanja in ohranjanje sistema usklajenega z najnovejšimi grožnjami.

Peskovnik CAPE

CAPE Sandbox (CAPEv2) je nadgradnja prejšnjih projektov, kot je Cuckoo Sandbox, in je postal Zelo zmogljivo orodje za dinamično analizo zlonamerne programske opreme, idealno za laboratorije in odzivne ekipe.

Njegova največja moč je v združevanju statična in dinamična analiza za izluščitev notranjih konfiguracij, razpakiranje skritih koristnih tovorov in odkrivanje tehnik izogibanja, ki pri povsem statičnih analizah pogosto ostanejo neopažene.

CAPEv2 je sposoben spremljanja Klici API-ja, omrežni promet, spremembe datotečnega sistema in pomnilnikustvarjanje zelo podrobnih poročil o vedenju zlonamerne programske opreme med izvajanjem.

Vključuje tudi sistem čiščenja, ki ga vodi Pravila YARA in drugi mehanizmikar pomaga pri soočanju z vzorci s tehnikami proti pesku ali naprednejšimi poskusi kamuflaže.

Zloraba IPDB

AbuseIPDB je skupna podatkovna zbirka Ugled IP-naslova ki zbira poročila o zlonamernih dejavnostih, ki jih predložijo uporabniki, podjetja in avtomatizirane storitve z vsega sveta.

Vsaka oseba ali sistem lahko Prijavi IP-je, ki izvajajo napadeposkusi surove sile, neželena pošta, zlorabe pri skeniranju ali drugo sumljivo vedenje, kar prispeva k izboljšanju kakovosti baze podatkov.

Ta pristop, ki temelji na skupnosti, zagotavlja, da baza podatkov ostane zelo na tekočem z dejanskimi zlonamernimi dejavnostmi, ki presega preproste statične sezname, ustvarjene v laboratoriju, in je zaradi tega dragocen za blokiranje ali filtriranje dohodnega prometa.

Njegov API omogoča enostavno integracijo te inteligence ugleda v požarni zidovi, SIEM, WAF ali lastni skriptitako da se odločitve o blokiranju ali opozarjanju lahko podprejo z obogatenimi podatki o zgodovini vsakega naslova IP.

Glede na vse zgoraj navedeno ostajata VirusTotal in Jotti dve zelo uporabni orodji za specifično analizo datotek, vendar se uvrščata v veliko širšo sliko, kjer se večmehanski skenerji, platforme za deljenje vzorcev, napredni peskovniki in obveščevalni podatki o zlonamerni infrastrukturi dopolnjujejo in ponujajo veliko bogatejši in bolj uporaben pogled na trenutne grožnje.