Tehdit Araştırmaları İçin VirusTotal – Kapsamlı Bir Kılavuz 2024

   Ağustos 30, 2024  Posted in CyberSecurityNews


Tehdit Araştırmaları için VirusTotal

VirusTotal, siber güvenlik profesyonelleri için olmazsa olmaz bir araçtır. Kötü amaçlı aktiviteleri tespit etmek için dosyaları, URL’leri, etki alanlarını ve IP adreslerini analiz etmek için kapsamlı bir platform sunar.

Bu kılavuz, kapsamlı veri kümesinden ve sorgulama yeteneklerinden yararlanarak tehdit araştırmalarında VirusTotal’in etkili bir şekilde kullanılmasına ilişkin ayrıntılı bir genel bakış sunmaktadır.

DÖRT

VirusTotal Veri Setini Anlamak

VirusTotal veri kümesi, 50 milyardan fazla dosyayı, 6 milyar URL’yi ve 4 milyar etki alanını depolayan platformun çekirdeğidir. Eserle ilgili bilgileri, her biri bir kimliğe, türe ve özniteliğe sahip nesneler halinde düzenler. Bu nesneler, aralarında bağlamsal bağlantılar sağlayan ilişkilerle dosyaları, URL’leri, etki alanlarını, IP’leri ve daha fazlasını temsil edebilir.

Tehdit Araştırmaları için VirusTotal
VirusTotal veri kümesinin en üst düzey yapısı

Nesne Yapısı

  • İD: Nesneyi, yapıtın kendisinden türetilerek benzersiz bir şekilde tanımlar (örneğin, dosyalar için SHA-256 karması).
  • Tip: Saklanan bilginin türünü belirtir (örneğin dosya, URL, alan adı).
  • Nitelikler: İlkel veya karmaşık olabilen bir nesneyle ilgili veri öğeleri.
  • İlişkiler: Nesneler arasındaki bağlantılar, birden fazla eserin yer aldığı senaryoları tanımlamak için faydalıdır.

VirusTotal’a Sorgulama

VirusTotal, veri kümesini sorgulamak için iki ana arayüz sunuyor: grafiksel kullanıcı arayüzü (GUI) ve uygulama programlama arayüzü (API).

Tehdit Araştırmaları için VirusTotal

VirusTotal GUI’si

VirusTotal ve SentinelOne’ın ayrıntılı yazısına göre, GUI veri kümesiyle manuel etkileşime izin verir. Kullanıcılar, benzersiz tanımlayıcılar veya arama değiştiricileri olabilen arama filtrelerinden oluşan arama sorguları girer modifier:valueMantıksal operatörler (AND, OR, NOT) karmaşık sorgular için birden fazla tanımlayıcıyı birleştirebilir.

VirusTotal’ın web arayüzü, kullanıcıların arama filtreleri kullanarak URL’ler, etki alanları, dosya karmaları veya IP adresleri gibi belirli eserleri aramasına olanak tanır. Bu filtreler, arama değiştiricileri (örneğin, değiştirici:değer) kullanılarak bir eser veya daha karmaşık sorgular için benzersiz bir tanımlayıcı olabilir.

Kullanıcılar birden fazla tanımlayıcıyı mantıksal operatörlerle (AND, OR, NOT) birleştirebilir ve parantez kullanarak gruplayabilirler.

Her arama, varlık değiştiricisi (örneğin, varlık:dosya) tarafından belirtilen en üst düzey bir koleksiyona (dosyalar, URL’ler, IP’ler, etki alanları veya koleksiyonlar) göre kapsamlandırılır.

Platform, arama sorgusuna dayalı olarak ilgili bilgileri bir web analiz raporu veya sonuç listesi olarak alır ve görüntüler.

Tehdit Araştırmaları için VirusTotal
Yaygın olarak kullanılan dosyaya özgü arama değiştiricilerinin yapılandırılmış genel bakışı (varlık:dosya) | Kaynak: Virus Total

VirusTotal API’si

API, büyük ölçekli sorgulama için uygun olan programatik etkileşimi etkinleştirir. Kullanıcılar, istek URL’lerinde arama filtreleri belirterek API uç noktalarına HTTP GET istekleri gönderir. API, GUI’den daha kapsamlı bilgi sağlar ve bu da onu ölçeklenebilirlik gerektiren görevler için ideal hale getirir.

Sorgulama kullanarak /api/v3/dosyalar/{hash} API uç noktası

VirusTotal’ı API üzerinden sorgulamanın temel bir yolu, istek URL’lerinde arama filtreleri kullanarak belirli API uç noktalarına HTTP GET istekleri göndermektir. Önemli uç noktalar şunlardır:

  • /api/v3/zeka/arama?sorgu={sorgu}: Benzersiz bir tanımlayıcı (URL, etki alanı, IP adresi veya dosya karması gibi) veya arama değiştiricileri kullanarak VirusTotal’a sorgu göndermeye olanak tanır.
  • Örnek URL’ler:https://www.virustotal.com/api/v3/intelligence/search?query=test.com
  • https://www.virustotal.com/api/v3/intelligence/search?query=entity:domain+and+domain:test
  • /api/v3/dosyalar/{hash}: Belirtilen karma değerle (MD5, SHA-1 veya SHA-256) eşleşen dosya nesnesini alır.
  • Örnek URL:https://www.virustotal.com/api/v3/files/e6adf40a959308ea9de69699c58d2f25

Sorgulama ile /api/v3/dosyalar/{hash} uç nokta, kullanıcıların daha fazla analiz veya sorgulama için ayrıştırıp kullanabileceği JSON biçimli verileri döndürür. API istekleri, resmi Python kitaplığıyla HTTP istemci kitaplıkları, komut satırı araçları veya özel betikler kullanılarak yapılabilir. vt-pyBu süreci basitleştirerek.

API’ye karşı GUI

VirusTotal API, özellikle ölçeklenebilirlik ve veri kapsamı açısından GUI’ye göre avantajlar sunar:

  • API, GUI üzerinden pratik olmayan büyük ölçekli sorgulamayı mümkün kılar. Örneğin, 2024’te gönderilen tüm Windows Kısayol dosyaları için işlem adlarını almak yalnızca API ile mümkündür.
  • VirusTotal’daki bazı veriler, örneğin sandbox yürütme sırasında işlem belleğinde bulunan URL’ler (örneğin, ikincil C2 URL’leri) GUI aracılığıyla sorgulanamaz. GUI bunları raporlarda görüntüler ancak doğrudan sorguya izin vermez. /api/v3/dosyalar/{hash}/davranışlar uç nokta, deneme alanı verilerini alır; buna şunlar dahildir: memory_pattern_urlsGUI üzerinden erişilemez.

API ayrıca, şüpheli davranış kuralları da dahil olmak üzere, tam sanal alan tarafından oluşturulan veriler gibi GUI’den daha ayrıntılı bilgiler de sağlayabilir. /api/v3/dosyalar/{hash}/davranışlar GUI’de tam olarak görünmeyen uç nokta.

VirusTotal’da AI Entegrasyonu

VirusTotal, yürütülebilir dosyalardaki kodun doğal dil özetlerini oluşturmak için AI’yı kullanır ve kötü amaçlı yazılım analizine yardımcı olur. Bu, kodu analiz eden ve hem özetler hem de kararlar (iyi huylu, şüpheli veya kötü niyetli) üreten AI motorlarını platformuna entegre etmeyi içerir.

VirusTotal iki AI motor türünü destekler: Code Insight (şirket içi, Google’ın Gemini’sine dayalı) ve Crowdsourced AI (topluluk tarafından sağlanan motorlar). Bu motorlar farklı dosya türlerinde uzmanlaşarak analistlerin kötü amaçlı yazılımın yeteneklerini anlamalarına ve kategorilere ayırmalarına yardımcı olur.

Code Insight analiz iş akışı

Temel Özellikler:

  1. Kod İçgörüsü: Komut dosyalarına (örneğin PowerShell, Python) odaklanır ve artık Windows PE ikili dosyalarını destekler.
  • Analiz Süreci:
    1. Paket açma: Mandiant Backscatter’ı kullanarak.
    2. Derlemenin çözülmesi: Hex-Rays IDA Pro ile.
    3. Analiz: Kod işlevlerini özetlemek için Gemini’yi kullanma.
  1. Kitle Kaynaklı Yapay Zeka: ByteDefend (Microsoft Office makrolarını analiz eder) gibi üçüncü taraf motorları.
  2. Arama Değiştiricileri: Kullanıcılar VirusTotal’ın veri kümesindeki belirli özetleri veya kararları sorgulayabilirler.

AI Arama Değiştiricileri:

Değiştirici Kullanım ve Kapsam
codeinsight:[text] Code Insight tarafından oluşturulan özetlerde metin arar.
crowdsourced_ai_analysis Code Insight ve tüm Crowdsourced AI motorlarındaki özetlerde metin arar.
crowdsourced_ai_verdict Tüm yapay zeka motorları tarafından verilen kararları (iyi huylu, şüpheli, kötü niyetli) arar.
[ENGINE]_ai_analysis Belirli bir Crowdsourced AI motorundan gelen özetlerdeki metinleri arar.
[ENGINE]_ai_verdict Belirli bir yapay zeka motorundan gelen kararları (iyi huylu, şüpheli, kötü niyetli) arar.

Bu yapay zeka araçları, geleneksel kötü amaçlı yazılım analizini geliştirir ancak onun yerini almaz; çünkü yeni veya oldukça karmaşık kodları gözden kaçırabilirler.

Etkili Tehdit Analizi için VirusTotal Arama Değiştiricilerinin Kullanımı

VirusTotal, analistlerin platformu hassas bir şekilde sorgulamasına olanak tanıyan ve belirli tehditler için ilgili verileri almaya yardımcı olan çok çeşitli arama değiştiricileri sunar.

Ancak, yanlış pozitiflerin (ilgisiz veriler) ve yanlış negatiflerin (eksik ilgili veriler) zorluğu arama sonuçlarının doğruluğunu etkileyebilir. Mantıksal operatörler (AND, OR, NOT) kullanılarak sorguların oluşturulması ve iyileştirilmesi bu sorunların hafifletilmesine yardımcı olarak arama sürecini daha yinelemeli ve etkili hale getirir.

Örnek Soruşturma

2023’te SentinelLabs, Güneydoğu Asya kumar şirketlerini hedef alan Çin bağlantılı şüpheli aktörleri araştırdı ve bu da kötü amaçlı yazılım yükleyicisi AdventureQuest.exe’nin keşfedilmesine yol açtı. Bu .NET tabanlı yürütülebilir dosya, muhtemelen Ivacy VPN satıcısı PMG PTE LTD’den çalınmış bir sertifika ile imzalandı; bu, Çinli tehdit aktörleri tarafından sıklıkla kullanılan bir taktiktir.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

VirusTotal’a Sorgulama

Daha detaylı araştırma yapmak için analistler aşağıdaki arama yaklaşımını kullandılar:

  1. Dijital İmza Sorgulama: Aynı sertifika seri numarasına sahip dosyaları arama (signature:"0E3E037C57A5447295669A3DB1A28B8A") 94 sonuç döndürdü.
  2. Dosya Türü İyileştirmesi: Aramayı Windows PE yürütülebilir dosyalarına daraltma (AND type:"peexe") sonuçları 31’e düşürdü.
  3. .NET Framework Odak Noktası: .NET ile oluşturulmuş yürütülebilir dosyalara daha fazla iyileştirme (AND magic:".NET") sonuçları 13’e çıkardı.
  4. Yanlış Pozitifleri Ortadan Kaldırma: PDB yollarına sahip dosyaları veya Ivacy VPN dizininden gelen dosyaları hariç tutma (AND (NOT metadata:".pdb") AND (NOT name:"Program Files (x86)\ivacy")) AdventureQuest.exe’yi tek ilgili sonuç olarak izole etti.

Bu araştırma, VirusTotal’in arama yeteneklerinin stratejik olarak kullanıldığında, yanlış pozitif veya negatif sonuçlarla ilgili olası zorluklara rağmen, belirli etkinlik kümeleri içindeki tehditleri etkili bir şekilde nasıl belirleyebileceğini gösterdi.

Pratik Kullanım Örnekleri

VirusTotal, aşağıdakiler gibi çeşitli tehdit istihbarat faaliyetleri için paha biçilmezdir:

  • Kümeleme Eserleri:Eğilimleri veya belirli tehdit aktörlerini belirlemek için ilgili eserleri gruplandırma.
  • Kötü Amaçlı Faaliyetleri İzleme:Bilinen tehditlerin davranışlarının izlenmesi ve yeni tehditlerin belirlenmesi.
  • Tehdit Eğilimlerini Analiz Etme: Değişen tehdit ortamını anlamak.

Sınırlamalar ve Hususlar

VirusTotal güçlü bir araç olmasına rağmen, kullanıcıların bazı sınırlamaların farkında olması gerekir:

  • Yanlış Pozitifler/Negatifler: Hatalı veriler arama sonuçlarının alakalılığını ve eksiksizliğini etkileyebilir.
  • Sandbox Sınırlamaları:Bazı kötü amaçlı yazılımlar, deneme alanı analizinden kaçabilir ve bu da davranış yakalama işleminin eksik kalmasına yol açabilir.
  • AI Sınırlamaları: Eğitim verilerindeki kısıtlamalar nedeniyle yapay zeka tarafından oluşturulan özetler ayrıntı veya doğruluktan yoksun olabilir.

Etkili bir şekilde kullanma Tehdit araştırması için VirusTotal sorgulama yeteneklerini ve veri alaka düzeyini etkileyebilecek faktörleri anlamayı gerektirir. GUI kullanıcı dostu bir arayüz sağlarken, API geniş ölçekli araştırmalar için genişletilmiş yetenekler sunar.

VirusTotal’a entegre edilen AI motorları analiz çabalarını artırabilir ancak daha geniş bir stratejinin parçası olarak kullanılmalıdır. VirusTotal’ın kapsamlı özelliklerinden yararlanarak kullanıcılar kapsamlı ve etkili tehdit araştırmaları yürütebilir.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!



Source link