El popular servicio Virus Total, que puede ejecutar más de 20 escáneres de antivirus sobre una muestra en un solo paso, ahora puede buscar signos de infecciones de malware en el tráfico de red capturado. Para realizar un chequeo, los usuarios suben los paquetes de red que se capturan en el formato PCAP común, en vez de enviar los archivos más comunes para VirusTotal como EXE, PDF o HTML.
Estos depósitos de tráfico de red se pueden crear con sniffers como Wireshark o tcpdump. Virus Total extraerá todos los archivos transmitidos y presentarlos a los escáneres de virus conocidos; los usuarios registrados también recibirán copias de los archivos extraídos. El servicio de exploración también se ve en los datos de tráfico de red con los sistemas de detección de intrusos Snort y Suricata. Estos servicios pueden, por ejemplo, detectar la comunicación entre un cliente y su servidor botnet de comando y control, así como otros típicos patrones de ataque.
Sin embargo, este tipo de análisis producirá numerosos mensajes de “tráfico potencialmente malo” y los usuarios tendrán que decidir por sí mismos si se trata de una falsa alarma. Otro aspecto interesante es la información adicional que se genera durante el análisis, lo que puede ayudar a comprender las actividades dentro de la red. Por ejemplo, Virus Total enlista todos los DNS encontrados y todas las solicitudes de las páginas web (HTTP).
El análisis que ejecuta VirusTotal, en teoría, también se puede realizar manualmente mediante la ejecución de cada escáner, uno por uno. En general, la nueva función de análisis no está dirigido a los usuarios no profesionales, que probablemente no registrarán mensajes como "NETBIOS SMB-DS DCERPC NetrpPathCanonicalize request (possible MS06-040)”, sino para los administradores y los especialistas en seguridad, lo que ofrece una manera muy rápida de extraer información útil.
Fuente: H Security NC
Estos depósitos de tráfico de red se pueden crear con sniffers como Wireshark o tcpdump. Virus Total extraerá todos los archivos transmitidos y presentarlos a los escáneres de virus conocidos; los usuarios registrados también recibirán copias de los archivos extraídos. El servicio de exploración también se ve en los datos de tráfico de red con los sistemas de detección de intrusos Snort y Suricata. Estos servicios pueden, por ejemplo, detectar la comunicación entre un cliente y su servidor botnet de comando y control, así como otros típicos patrones de ataque.
El análisis que ejecuta VirusTotal, en teoría, también se puede realizar manualmente mediante la ejecución de cada escáner, uno por uno. En general, la nueva función de análisis no está dirigido a los usuarios no profesionales, que probablemente no registrarán mensajes como "NETBIOS SMB-DS DCERPC NetrpPathCanonicalize request (possible MS06-040)”, sino para los administradores y los especialistas en seguridad, lo que ofrece una manera muy rápida de extraer información útil.
Fuente: H Security NC
No hay comentarios:
Publicar un comentario