VirusTotal 发布了一份备忘单,以帮助研究人员创建查询,从而从恶意软件情报平台获得更具体的结果。
文件搜索修饰符可以帮助 优化输出 ,但备忘单显示了如何在现实场景中组合它们以查找特定数据。
更有针对性的搜索
在周一的博客文章中,谷歌安全工程师 Alexey Firsh 举例说明了备忘单如何用于查找与特定实体、活动组、文档、网络和非 Windows 恶意软件样本相关的文件。
使用特定的“实体”搜索修饰符,分析人员可以根据 IP 地址、域、URL 或文件查找文件。计划还将 VirusTotal 集合包含 在此修饰符集合中。
为了帮助研究人员追踪威胁行为者的踪迹,Firsh 指出,研究人员可以将恶意软件家族或活动的名称与 VirusTotal 上防病毒引擎的判断相结合。
这种方法非常适合检测高级攻击者,并会发现由 VirusTotal 平台的各种用户策划的集合中的相关数据。
搜索可以缩小范围或与基于众包规则(YARA、IDS、Sigma)的查询混合使用。
VirusTotal 的备忘单涵盖了现实生活中的示例,其中文件搜索修饰符过滤由特定供应商签名的数据和来自特定服务器的电子邮件,无论是否有附件。
研究人员还可以使用关键字来查找适用于 Windows 以外的其他操作系统的文件,例如 Android、macOS 和 Symbian。
对于 Android,样本是使用开源 Androguard 工具处理的,用于查看包内部,包括代码字符串、清单实体和证书签名。
一个相对较新的功能是寻找明确的包名称。但是,这仅适用于从 2022 年 3 月开始编制索引的文件。
VirusTotal 的备忘单 (PDF) 目前只有三页,但它包含多个类别的关键字组合以查找恶意或可疑文件。
它还可以是将恶意软件与已知和未知参与者的操作联系起来或发现新的和潜伏的威胁的捷径。
VirusTotal 计划使用新选项更新备忘单,使在平台上搜索情报更容易、更快捷、更有针对性。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VirusTotal备忘单使搜索特定结果变得容易
