VirusTotal vs Jotti: комплетно поређење и стварне алтернативе

Информатек Дигитал » Средства » VirusTotal vs Jotti: комплетно поређење и стварне алтернативе

Када причамо анализирајте сумњиве датотеке на злонамерни софтверДва имена се увек појављују у разговорима: VirusTotal и Jotti. То су ветерани сервиси, које широко користе и кућни корисници и безбедносни техничари и аналитичари којима је потребно брзо друго мишљење о датотеци преузетој са интернета или примљеној имејлом.

Међутим, иако на први поглед могу изгледати готово идентични алатиРеалност је да постоје значајне разлике у антивирусним програмима, типовима скенирања, максималној величини датотека, нивоу детаља извештаја, па чак и приступу сервиса (напреднији или једноставнији). Штавише, екосистем је порастао и данас постоји много алтернатива које вреди истражити како би се избегло ослањање на једну платформу.

Зашто су онлајн скенери и даље корисни

У системима као што је Windows, поседовање Резидентни антивирус је инсталиран и ажуриран То није опционо, то је неопходност. У ствари, сам Мајкрософт интегрише Windows Defender у систем, који нуди основну заштиту у реалном времену без икаквих додатних акција са наше стране.

Упркос томе, многи корисници и даље имају извесно неповерење у Windows Defender и одлучују се за безбедносна решења трећих страна од угледних брендова који су на тржишту годинама. Овај главни антивирус обично прати рачунар у позадини, али не желимо увек да инсталирамо други програм само да бисмо проверили одређену датотеку.

У свакодневном животу, веома је практично моћи да урадите Анализа једне или више датотека на захтев директно из прегледачабез инсталације и без додиривања системских подешавања. Ту долазе до изражаја сервиси попут VirusTotal-а или Jotti-ја, који вам омогућавају да отпремите датотеку и проверите је у неколико антивирусних програма одједном.

Поред заказаних скенирања антивируса, препоручљиво је периодично вршити скенирање. темељитија провера рачунараАли када нас брине одређена датотека (прилог, преузета извршна датотека, сумњив документ), ови онлајн скенери нуде брзо и веома практично друго мишљење.

Шта је VirusTotal и како функционише?

Током година, VirusTotal је постао светска референца у анализи датотека и URL-ова Са веба. Припада Гугловом екосистему и интегрише се у све врсте токова рада: од корисника који отпремају једну датотеку до SOC тимова који аутоматизују упите путем API-ја.

Највећа снага VirusTotal-а је то што Комбинује више од 70 антивирусних програма и безбедносних алата да анализира послату ставку. То јест, није ограничено на једно решење, већ тестира датотеку, URL, домен или IP адресу у односу на широк спектар независних технологија како би се повећале шансе за откривање.

За корисника је процес веома једноставан: само отпремите датотеку или налепите URL, домен, IP или хешСачекајте неколико секунди и прегледајте детаљан извештај који показује који претраживачи га означавају као злонамерног, који га сматрају чистим и која врста претње, ако постоји, је откривена.

Још једна веома моћна карактеристика је његова огромна историјска база података узоракаVirusTotal чува и организује анализиране датотеке, омогућавајући вам да консултујете старе узорке како бисте видели како су се детекције развијале и које додатне информације су генерисане током времена.

Платформа такође садржи веома активна заједница који коментарише, означава и обогаћује узорке контекстом: породице злонамерног софтвера, познате кампање, повезани индикатори итд. Овај аспект сарадње додаје огромну додатну вредност извештајима.

Са друге стране, бесплатна верзија има ограничења величине датотеке који се могу отпремити и у коришћењу API-ја. Још једна осетљива тачка је приватност: многи корисници се не осећају пријатно отпремање осетљивих датотека знајући да се могу делити са заједницом и са безбедносним компанијама.

Шта је Jotti и како се разликује од VirusTotal-а?

Јотијево скенирање злонамерног софтвера је много једноставнија веб услуга, дизајнирана за оне који желе брзо проверите датотеку Без компликовања ствари. Концепт је сличан: отпремите датотеку и она се анализира помоћу неколико антивирусних програма истовремено.

Према информацијама саме службе, Јоти дозвољава Отпремите до 5 датотека одједномСа максималном величином датотеке од 250 MB у својој најновијој конфигурацији (нека старија поређења су помињала 20 MB, али је тренутно ограничење знатно веће), ово га чини практичним за документе средње величине, извршне датотеке или програме за компресију.

Број мотора је знатно мањи него у VirusTotal-у: Jotti ради са између 15 и 20 различитих антивирусних програмашто је у пракси и даље добро „друго мишљење“, али очигледно нуди мању разноликост од више од 70 са VirusTotal-а.

Једна од његових предности је интерфејс: Jotti се истиче по Веома чиста и директна презентацијаИдеално за кориснике који нису технички стручњаци и само желе да знају да ли датотека „сумњиво мирише“ или не. Извештај је краћи и мање оптерећујући од извештаја VirusTotal-а.

Међутим, услуга је усмерена искључиво на анализирајте лабаве датотекеНе дозвољава скенирање URL-ова, домена или IP адреса, што је део свакодневне рутине са VirusTotal-ом за аналитичаре и администраторе.

Сама услуга упозорава да, чак и ако користи неколико мотора, Не постоји 100% заштитаПоред тога, све послате датотеке се деле са компанијама које учествују у програму антивирусних програма како би се побољшали њихови потписи и механизми за детекцију, што треба узети у обзир ако радите са веома осетљивим садржајем.

Сличности између VirusTotal-а и Jott-а

Из перспективе просечног корисника, VirusTotal и Jotti деле низ основних карактеристика које објашњавају зашто се често помињу заједно када се говори о... онлајн скенери злонамерног софтвера.

Пре свега, обоје су бесплатне услуге доступне из вашег прегледачаЗа основну употребу није потребно креирање налога, нити је потребно инсталирати додатни софтвер. Једноставно посетите веб локацију, изаберите датотеку и сачекајте резултат.

Оба су заснована на идеји о користите више антивирусних програма истовремено да би повећали вероватноћу откривања претњи. Уместо да се ослањају на мишљење једног добављача, они нуде неку врсту „гласа“ између неколико мотора.

Такође се слажу да су алати за аналитику на захтевОни нису замена за антивирусни софтвер за десктоп рачунаре. Не пружају заштиту у реалном времену, не блокирају преузимања нити прате процесе; скенирају само оно што им ручно пошаљете.

И VirusTotal и Jotti су нудили или настављају да нуде десктоп клијенти Да би се олакшало слање датотека без отварања прегледача, нешто корисно за оне који често анализирају датотеке и не желе да понављају исти ручни поступак сваки пут.

Кључне разлике: Где VirusTotal побеђује, а где је Jotti убедљивији?

Иако је концепт сличан, када се упоређују VirusTotal и Jotti, важне разлике се појављују у претраживачима, опцијама анализе и нивоу детаља, што сваки од њих чини бољим за одређени тип корисника.

Прва велика разлика лежи у број и разноликост антивирусних програмаУпоредни тестови су показали да, док је Jotti користио око 19 антивирусних програма, VirusTotal је достигао 40, 50 или више у зависности од ере, укључујући популарна решења као што су McAfee, Symantec или Trend Micro која Jotti не укључује.

Још једна област у којој VirusTotal има предност је у опције скенирањаНије ограничено само на датотеке: такође вам омогућава да анализирате УРЛ-ове, домене, ИП адресе, хешеве, па чак и да извучете информације о понашању, што је веома корисно за проверу линкова пре њиховог преузимања. посећујте потенцијално опасне веб странице.

Што се тиче безбедности саме везе, VirusTotal нуди отпремање датотека помоћу SSL-а да шифрује пренос током анализе. Jotti, у многим својим фазама, није имао тај ниво видљивих опција, што може да забрине кориснике који веома штите поверљивост онога што отпремају.

С друге стране, Јоти осваја поене управо захваљујући свом једноставност и јасноћаНе преплављује вас десетинама картица, индикатора или напредних метрика; фокусира се на приказивање који претраживачи означавају датотеку као сумњиву и мало тога другог, нешто што ће многи ценити ако само желе брз одговор.

Разне упоредне анализе обично закључују да, ако је оно што тражите максимална покривеност и свестраностVirusTotal побеђује са великом разликом. Jotti, с друге стране, је добро позициониран као комплементарна услуга, брзо друго мишљење након покретања VirusTotal-а или коришћења вашег локалног антивируса.

VirusTotal након интеграције са Google Threat Intelligence-ом

Последњих година се ситуација променила за професионалне кориснике VirusTotal-а, јер је услуга постала све више интегрисана у Google Threat Intelligence (GTI), Гуглова линија производа за сајбер обавештајну радњу оријентисаних на предузећа.

Овом интеграцијом, многе функције које су раније биле доступне у слободни или средњи нивои Прешли су на веће моделе плаћања, а разни стручњаци су на специјализованим форумима коментарисали значајна повећања цена за напредни приступ подацима и извештајима.

Ова промена долази у посебно деликатном тренутку, са стално повећање рањивости и претњиИзвештаји о обавештајним подацима о претњама проценили су повећање од преко 15% у откривеним CVE нападима у поређењу са претходним годинама, што захтева више података, више контекста и више аутоматизације.

За многе тимове за сајбер безбедност, ловце на претње и SOC-ове, уточиште се налази само у отпремања из заједнице и антивирусна детекција У оквиру VirusTotal-а то више није довољно, нити је увек исплативо ако желите да дубље зароните користећи напредне API-је.

Све је то подстакло потрагу за практичне и комплементарне алтернативе који задовољавају потребе за обавештајним подацима о претњама, корелацијом индикатора и аутоматизацијом, а да притом не буду 100% зависни од екосистема VirusTotal/GTI.

Моћне алтернативе за VirusTotal (поред Jotti-ја)

Иако је Jotti занимљива алтернатива за повремену употребу, постоји читав низ платформе које покривају специфичне аспекте анализа злонамерног софтвера, дељење узорака, репутација ИП адресе или мапирање злонамерне инфраструктуре су све вредне разматрања.

Метадефендер Клауд (OPSWAT)

Metadefender Cloud, од OPSWAT-а, је cloud решење које не само да нуди Вишеструка анализа у стилу VirusTotal-аали додаје додатне слојеве усмерене на превенцију, као што су дезинфекција и санација датотека.

Услуга омогућава скенирање датотеке, URL-ови, IP адресе и хешеви Са преко 20-30 антивирусних програма, који траже и познате претње и сумњиво понашање, идеја је да се максимизира детекција комбиновањем различитих технологија.

Његова главна карактеристика је Разоружавање и реконструкција садржаја (CDR)Узима датотеку, уклања потенцијално опасне делове (макрое, скрипте, уграђени садржај) и генерише употребљиву „чисту“ верзију, чак и у случајевима када злонамерни софтвер још није експлицитно идентификован.

Метадефендер Клауд такође нуди скенирање рањивости унутар датотекаНа пример, откривањем застарелих библиотека или компоненти са познатим експлоатима, што додаје додатни слој безбедности пукој антивирусној анализи.

Захваљујући свом API-ју и интеграцијама, то је добра опција за организације које желе да аутоматизују санитарне процесе долазних датотека (е-пошта, кориснички портали, интерни трансфери) пре него што стигну до крајњег корисника.

Јотијево скенирање злонамерног софтвера као једноставна алтернатива

Поред директног поређења са VirusTotal-ом, Jotti остаје одлична предност за брзо и бесплатно скенирање у домаћим окружењима или малим предузећима која не захтевају велика примене.

Његова главна привлачност је употреба више антивирусних мотора који раде паралелноОво побољшава стопу детекције у поређењу са слепим ослањањем на један десктоп производ и може открити претње које би један мотор пропустио.

Његово ограничење величине (тренутно до 250 МБ по датотеци и са могућношћу слања 5 одједномОво га чини практичним за већину уобичајених случајева, од инсталатера до компримованих датотека или донекле тешких докумената.

Приступ интерфејсу је веома минималистички, са обичан панел без напредних опција то би могло бити збуњујуће. Идеално је за оне који желе да отпреме датотеку, виде листу претраживача и брзо одлуче да ли верују тој датотеци или не.

За аналитичаре или напредне кориснике, Jotti добро функционише као други или трећи извор верификације након VirusTotal-а, посебно у процесима где желите да упоредите резултате између различитих онлајн сервиса.

ВирСЦАН.орг

VirSCAN.org је још један класик вишеструки антивирусни скенери на вебуОмогућава вам да отпремате датотеке и проверавате их помоћу неколико мотора различитих произвођача, дајући попречни преглед могућих инфекција.

Дуго времена је успевао да Ограничење од 20 МБ по датотециОво је нешто конзервативније од Џотијевих тренутних бројки, али довољно за већину извршних датотека и канцеларијских докумената који се обично користе у аналитичким сценаријима.

Њихов приступ је сличан: идите горе, сачекајте резултат и проверите који мотори шта детектујуМање се фокусира на ултра-употребљивост, а више на нуђење функционалне и бесплатне услуге корисне за друго мишљење.

Интезерова анализа

Intezer Analyze даје нови заокрет традиционалном приступу и фокусира се на оно што они називају „Анализа генетског кода“Уместо да се ослања искључиво на антивирусне скенирања, он разлаже датотеку и упоређује фрагменте кода са огромним базама података злонамерног софтвера и легитимног софтвера.

На овај начин је у стању да откривање поновне употребе кода у различитим породицама злонамерних програма, видети сличности са претходним узорцима и груписати узорке по лозама, нешто што је изузетно корисно за истраживаче и обавештајне тимове.

Интезерови извештаји пружају контекст о вероватном пореклу кодакоји делови су нови, који су преузети из других тројанских коња или алата и како се узорак уклапа у познате кампање, што олакшава рад на атрибуцији.

Штавише, добро се интегрише кроз API-ји за аутоматизацију подношења и корелацијаСтога је то моћна алтернатива за пословна и истраживачка окружења која желе да превазиђу типично „заражен/незаражен“.

AlienVault (плави ниво)

AlienVault, сада под брендом Level Blue, није само алат за анализу злонамерног софтвера, већ јединствена безбедносна платформа који интегрише више могућности у један производ.

Њихов предлог се врти око Уједињено управљање безбедношћу (USM)Комбиновање SIEM-а, откривања имовине, скенирања рањивости и IDS-а, плус откривање злонамерног софтвера и корелација догађаја.

Једна од кључних карактеристика AlienVault-а је његова колаборативна обавештајна служба о претњама, који се континуирано ажурира из заједнице и комерцијалних извора како би се идентификовало сумњиво понашање и текуће кампање.

Захваљујући свом API-ју и могућности интеграције са другим решењима, представља атрактивну алтернативу за организације које желе да виде злонамерни софтвер као само још један део слагалице унутар комплетног безбедносног оквира, а не као нешто изоловано.

MalwareBazar

MalwareBazar, који покрећу abuse.ch и Spamhaus, је платформа за сарадњу за дељење и преузимање узорака злонамерног софтвераУ великој мери је усмерен ка истраживачима, произвођачима безбедносне опреме и тимовима којима је потребан свеж материјал за њихове анализе.

Једна од његових предности у односу на друге платформе је то што То елиминише многе препреке за улазак.Не постоје сложени захтеви за регистрацију или престрога ограничења преузимања, што свакодневни истраживачки рад чини лакшим.

Платформа се фокусира на стварне узорке, избегавајући бенигне датотеке, адвер или потенцијално нежељене програме да би се максимизирала вредност онога што се дели. Ово помаже онима који анализирају породице злонамерног софтвера, ботнете или одређене кампање.

MalwareBazar нуди API који омогућава аутоматизовати преузимање и интеграцију узорака у аналитичким токовима, „sandbox“-у или обогаћивању обавештајних података, као и интеграцијама са SIEM-ом и другим решењима.

Hunt.io

Hunt.io је више усмерен ка лов на претње и обавештајне информације о злонамерној инфраструктури а не анализу самих датотека. Фокус је на доменима, ИП адресама и хешевима и како су они међусобно повезани.

Једна од његових главних карактеристика је његова C2 инфраструктурни фид, који проактивно идентификује и валидира командне и контролне сервере пре него што буду масовно искоришћени, захваљујући скенирању интернета великих размера.

Платформа обавља континуирано праћење изложених сервиса, сертификате, HTTP заглавља и друге споља видљиве елементе за откривање образаца коришћења од стране злонамерних актера.

Са функцијама као што је IOC Hunter, омогућава почевши од одређеног индикатора (домен, ИП адреса, хеш) и истражите повезану инфраструктуру: изложене директоријуме, дељене сертификате, сумњиве заглавља итд.

OPSWAT MetaDefender Cloud као алат за лов

Поред својих могућности као вишемоторног скенера, MetaDefender Cloud је добро позициониран као алат за лов на претње интегрисањем података од више безбедносних добављача, повратних информација корисника и могућности корелације.

Платформа користи више од 20 антивирусних програма и друге слојеве анализе како би се смањили лажно негативни резултати, побољшало време одзива и олакшало одређивање приоритета упозорења у корпоративним окружењима.

Његов колаборативни приступ, где корисници могу Означавање и коментарисање датотека, ИП адреса или доменаОмогућава континуирано фино подешавање алгоритама за детекцију и одржавање система усклађеним са најновијим претњама.

РТ ПЕСЧАК

CAPE Sandbox (CAPEv2) је еволуција претходних пројеката попут Cuckoo Sandbox-а и постао је Веома моћан алат за динамичку анализу злонамерног софтвера, идеално за лабораторије и тимове за интервенцију.

Његова највећа снага лежи у комбиновању статичка и динамичка анализа да издвоји интерне конфигурације, распакује скривене корисне терете и открије технике избегавања које често остају непримећене у чисто статичким анализама.

CAPEv2 је способан да прати API позиви, мрежни саобраћај, промене система датотека и меморијагенерисање веома детаљних извештаја о понашању злонамерног софтвера током извршавања.

Такође укључује систем за пречишћавање којим управља YARA правила и други механизмишто помаже у суочавању са узорцима техникама против песка или напреднијим покушајима камуфлаже.

AbuseIPDB

AbuseIPDB је колаборативна база података Репутација IP адресе који прикупља извештаје о злонамерним активностима које подносе корисници, компаније и аутоматизоване услуге из целог света.

Било која особа или систем може Пријавите ИП адресе које врше нападепокушаји грубе силе, спам, злоупотребљавајуће скенирање или друго сумњиво понашање, доприносећи побољшању квалитета базе података.

Овај приступ заснован на заједници осигурава да база података остане веома ажуриран са стварним злонамерним активностима, изван једноставних статичких листа креираних у лабораторији, и чини га вредним за блокирање или филтрирање долазног саобраћаја.

Његов API олакшава интеграцију ове интелигенције репутације у заштитни зидови, SIEM, WAF или сопствени скриптовитако да одлуке о блокирању или упозоравању могу бити поткрепљене обогаћеним подацима о историји сваке IP адресе.

Узимајући у обзир све наведено, VirusTotal и Jotti остају два веома корисна алата за специфичну анализу датотека, али се уклапају у много ширу слику где се скенери са више мотора, платформе за дељење узорака, напредни „пешчаници“ и интелигенција злонамерне инфраструктуре међусобно допуњују како би понудили много богатији и практичнији поглед на тренутне претње.