Cerca in:
Cerca in:

VirusTotal

Fin dall’inizio, l’obiettivo di VirusTotal è sempre stato quello di diventare un servizio web gratuito, nato per essere in grado di sottoporre a scansione file (caricati dal proprio PC), URL, oppure effettuando una ricerca più vasta tramite domini, indirizzi IP o hash di file per scovare malware, come: virus, worm, e altre tipologie di contenuto malevolo. Questo è stato reso possibile tramite l’ausilio di vari strumenti: un aggregato di motori antivirus, strumenti di caratterizzazione di file, motori di scansione dei siti web e contributi di vari utenti.

In continua crescita, ad oggi VirusTotal si appoggia su oltre settanta software di scanner antivirus, e NOX ha la possibilità di abilitare un’integrazione con VirusTotal denominata “Malware Detector“. Questo sistema è soggetto alla licenza e limitazioni imposte da VirusTotal e si consiglia di prendere visione delle norme d’utilizzo.

In sintesi, l’integrazione con NOX offre una maggiore protezione contro le minacce online, una valutazione rapida e affidabile della sicurezza del sistema e una descrizione automatica del sistema all’API di VirusTotal. Questo migliora la sicurezza informatica degli utenti e aiuta a prevenire eventuali attacchi o intrusioni sul loro sistema.

Per quanto riguarda l’implementazione, nel momento in cui viene generato un alert dal File Integrity, viene estratto il campo hash del file modificato. Successivamente viene effettuata una richiesta a VirusTotal con le informazioni contenute nel database dei vari vendor. Per verificare se ci sono state manomissioni da parte di utenti malintenzionati.

Rilevazioni del Malware Detector.
Analisi della catena di azione del malware di VirusTotal.

Con NOX, oltre a questo, è possibile attivare lo strumento Security Orchestration, Automation and Response (SOAR) ed eseguire, al verificarsi di un trigger di infezione, una remediation automatica
In alcuni casi può essere eseguita un’azione di isolamento della macchina dalla rete, in altri un’eliminazione forzata della detection tramite il SOAR:

Notifica NOX su Telegram che segnala l’infezione


Come possiamo vedere NOX ha rimosso il malware in meno di un secondo.

Una volta isolata la minaccia è possibile eseguire l’analisi del malware attraverso VT per scoprire che url il malware ha contattato e come è partita la catena di infezione:

Possiamo analizzare il malware per verificare che ha contattato un url del dominio contidipanico.com cercando una risorsa. Il dominio era già stato segnalato ed era giù quindi non sarebbe riuscito comunque ad esfiltrare dati.

Aggiornato: 24 Febbraio 2023

VirtusTotal