24.49M
Similar presentations:
Разведка по открытым источникам (часть 2)
Разведка по открытым источникам (часть 2)
Кибербезопасность. Кибер расследования
Кибербезопасность. Кибер расследования
OSINT Разведка по открытым источникам. Рекогносцировка
OSINT Разведка по открытым источникам. Рекогносцировка
Подпишитесь на DeepL Pro и переводите документы большего объема
Подпишитесь на DeepL Pro и переводите документы большего объема
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Остаться невидимкой. Андрей Масалович
Остаться невидимкой. Андрей Масалович
Resolver-программа обработки запросов вида «Любезный, не скажешь ли какой IP адрес у yandex.ru?»
Resolver-программа обработки запросов вида «Любезный, не скажешь ли какой IP адрес у yandex.ru?»
Основы безопасности информационных технологий
Основы безопасности информационных технологий
Введение в информационную безопасность. Лекция 1
Введение в информационную безопасность. Лекция 1
Протоколы прикладного уровня
Протоколы прикладного уровня

VirusTotal-OSINT-i-rassledovanie-kiberugroz

1.

VirusTotal: OSINT и
расследование киберугроз
VirusTotal — это комплексная платформа для разведки на основе открытых
источников (OSINT) и анализа угроз (CTI).
Она агрегирует данные от более 70 антивирусных движков, средств анализа
поведения, баз WHOIS и других инструментов, создавая единую точку для
исследования цифровых артефактов.

2.

Углубленный анализ возможностей
Анализ файлов: Глубже, чем просто антивирус
Динамический анализ (Песочница)
Поведение в системе (автозагрузка, реестр), сетевые
Статический анализ: детализация сигнатур AV, богатые
метаданные (автор, дата, скрипты), контрольные суммы (SHA-256,
ssdeep).
взаимодействия (DNS, HTTP, C2-серверы), снимки памяти.

3.

Раскрытие инфраструктуры
злоумышленников
Анализ URL и доменов
Исторические данные сканирований, граф связей («скачал с», «коммуницировал с»),
данные WHOIS и SSL-сертификатов для выявления фишинга.
Категоризация угроз
Определение типа угрозы: фишинг, ботнет, шпионское ПО.

4.

Контекстуализация сетевой
активности
Анализ IP-адресов
Пассивный DNS (pDNS) показывает все исторические DNS-записи для IP,
выявляя инфраструктуру. Сканирование портов (SSH, RDP, 80/443) и
геолокация/ASN определяют хостинг-провайдера.
Поиск по хэшам
Мгновенная тактическая проверка индикаторов (IoC) из отчетов. Если
файл известен VT, вы получаете полный отчет без риска заражения.

5.

API VirusTotal и визуализация атак
API VirusTotal
Граф связей
Основные эндпоинты для файлов, URL, доменов, IP-адресов, анализов,
Визуализация цепочек атак: от фишингового письма к связанным
графов и разведки. Позволяет автоматизировать универсальное
файлам, доменам, C2-серверам и жертвам. Инструмент для гипотез и
исследование IOC.
расследований.
Пример комплексного скрипта для анализа IOC и построения графа
Livehunt и Retrohunt (Платные)
угроз.
Проактивный поиск угроз: Livehunt (YARA/GraphQL) для новых загрузок,
Retrohunt для исторической базы VT.

6.

Продвинутые стратегии
OSINT-расследований
01
Расследование фишинговых кампаний
Проверка URL в VT, изучение SSL-сертификатов и pDNS, использование Graph
для поиска файлов и других доменов в инфраструктуре.
02
Атрибуция вредоносного ПО и APT-групп
Анализ метаданных файлов (автор, компилятор, PDB-пути), поиск файлов с
одинаковыми цифровыми сертификатами, использование ssdeep для
модифицированных версий кода.

7.

Детальный подход к
расследованиям
Фишинговые кампании
Проверка URL, анализ SSL и pDNS, использование Graph для
выявления связанных файлов и доменов.
Атрибуция вредоносного ПО
Изучение метаданных файлов, цифровых сертификатов и ssdeep
для отслеживания APT-групп.

8.

Мониторинг и реагирование
Проверка инфраструктуры
Анализ инцидентов
Поиск утечек данных через домены и IP-адреса компании.
Быстрое получение списка C2-серверов по хэшу файла.
Мониторинг бренда с помощью Livehunt-правил.
Поведенческий анализ из песочницы для понимания
функционала угрозы.

9.

Ограничения и этика
использования VirusTotal
Конфиденциальность данных
Не загружайте конфиденциальные данные, так как они становятся доступны сообществу
VT. Используйте локальные средства для чувствительных файлов.
API-лимиты
Бесплатный API имеет ограничения (500 запросов/день, 4 в минуту). Для активных
расследований требуются платные тарифы.
Задержка и тактика злоумышленников
Новый вредонос может иметь нулевые детекты. Продвинутые противники отслеживают
свои артефакты в VT и меняют инфраструктуру.
Юридические аспекты
VT — инструмент для пассивной разведки. Активные действия (сканирование портов,
попытки взлома) нелегальны.

10.

Интеграция в рабочий процесс аналитика
VirusTotal — это "швейцарский нож" для OSINT-специалиста по кибербезопасности, идеально сочетающийся с:
MalwareBazaar, Hybrid-Analysis, Any.Run
Shodan, Censys
Для дополнительного анализа поведения вредоносного ПО.
Для детального анализа открытых портов и сервисов на IP-адресах.
URLscan.io
MISP, TheHive, Cortex
Для снимков веб-страниц и анализа трафика.
Платформы для совместной работы и управления индикаторами.
Его сила — в кросс-корреляции миллионов артефактов, позволяющей восстановить полную картину кибератаки и инфраструктуру злоумышленников.
English     Русский Rules