Virustotal, araştırmacıların kötü amaçlı yazılım istihbarat platformundan daha spesifik sonuçlara yol açan sorgular oluşturmalarına yardımcı olmak için bir hile sayfası yayınladı.
Dosya arama değiştiriciler çıktıyı iyileştirmeye yardımcı olabilir, ancak hile sayfası belirli verileri bulmak için gerçek dünya senaryolarında nasıl birleştirilebileceklerini gösterir.
Pazartesi günü bir blog yayınında, Google Güvenlik Mühendisi Alexey Firsh, hile sayfasının belirli varlıklara, etkinlik gruplarına, belgelere, ağlara ve pencere olmayan kötü amaçlı yazılım örneklerine bağlı dosyaları bulmak için nasıl kullanılabileceğine dair örnekler sunar.
Belirli bir "varlık" arama değiştiricisi kullanarak, analistler IP adreslerine, alan adlarına, URL'lere veya dosyalara göre dosyaları arayabilir. Plan, bu değiştirici koleksiyonuna Virustotal koleksiyonları da dahil etmektir.
Araştırmacıların bir tehdit oyuncusunun izlerini takip etmesine yardımcı olmak için Firsh, araştırmacıların kötü amaçlı yazılım ailesinin veya kampanyanın adını Virustotal'daki antivirüs motorlarının kararı ile birleştirebileceklerini belirtiyor.
Bu yöntem, gelişmiş saldırganları tespit etmek için çok uygundur ve Virustotal platformunun çeşitli kullanıcıları tarafından küratörlüğünde koleksiyonlardaki ilgili verileri ortaya çıkaracaktır.
Arama, kitle kaynaklı kurallara (Yara, IDS, Sigma) dayalı olarak daraltılabilir veya sorgularla karıştırılabilir.
Virustotal’ın hile sayfası, dosya arama değiştiricilerin belirli bir sunucudan ekli veya ek olmayan bir sunucudan imzalanan verileri filtrelediği gerçek hayattaki örnekleri kapsar.
Araştırmacılar ayrıca Android, macOS ve Symbian gibi diğer işletim sistemleri için dosya bulmaya izin veren anahtar kelimeler de kullanabilirler.
Android için numuneler, kod dizeleri, tezahür varlıkları ve sertifika imzaları dahil olmak üzere paketlerin içine bakmak için açık kaynaklı Androguard aracı kullanılarak işlenir.
Nispeten yeni bir özellik açık paket adları arıyor. Ancak, bu yalnızca Mart 2022'den itibaren dizinli dosyalarla çalışır.
Virustotal’ın Hile Sayfası (PDF) şu anda sadece üç sayfadır, ancak kötü niyetli veya şüpheli dosyalar bulmak için birden fazla anahtar kelime kombinasyonu kategorisi sunar.
Ayrıca kötü amaçlı yazılımları bilinen ve bilinmeyen aktörlerden operasyonlara bağlamak veya yeni ve gizlenen tehditleri ortaya çıkarmak için bir kısayol olabilir.
Virustotal, hile sayfasını platformda istihbarat aramayı daha kolay, daha hızlı ve daha hedefli hale getirecek yeni seçeneklerle güncellemeyi planlıyor.
Zerobot kötü amaçlı yazılım artık Apache güvenlik açıklarından yararlanarak yayılıyor
FBI, kötü amaçlı yazılımları iten arama motoru reklamlarını uyarıyor, kimlik avı
Godfather Android kötü amaçlı yazılım 400 bankayı hedefliyor, kripto borsaları
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Ahududu Robin Solucan Damlalar Araştırmacıları karıştırmak için sahte kötü amaçlı yazılım
Kaynak: Bleeping Computer