특정 위협 주체나 악성 소프트웨어 패밀리의 새로운 변종을 추적하세요.
관심 있는 악성 소프트웨어 패밀리와 특정 위협 주체의 진화를 추적하고 조직을 보호하기 위해 YARA의 마법을 VirusTotal의 실시간 샘플 흐름과 역사적 데이터에 적용하여 IoC를 자동으로 생성할 수 있습니다.
VT Hunting
YARA 규칙이 일치할 때마다 알림을 받고, 일치하는 항목에 대한 상세 정보를 받아추가 오프라인 연구를 위해 관련 파일을 다운로드 할 수 있습니다.
YARA Rules
YARA를 사용하면 텍스트나 이진 패턴을 기반으로 악성 코드 패밀리에 대한 설명을 만들 수 있습니다. 이러한 규칙을 VirusTotal에 업로드하여 알려진 위협 주체가 사용하는 새로운 도구를 추적하거나 보안 산업의 주목을 피할 수 있는 악성 코드 패밀리의 변종을 추적할 수 있습니다.
VirusTotal의 YARA 설정을 통해 파일의 이진 내용만으로는 알 수 없는 메타데이터나 다른 외부 조건에 대한 조건을 지정할 수 있습니다. 이 조건으로는 백신 레이블, 제출 파일 이름, 인텔리전스 태그, 파일 유형 등이 포함될 수 있습니다.
자동 규칙 생성
일치할 파일의 컬렉션을 제공하고 VirusTotal이 최적의 이진 서브시퀀스를 규칙 트리거로 자동으로 제안하도록 할 수 있습니다. 전체 역사 데이터 세트를 통한 통계 분석을 통해 낮은 거짓 긍정률이 보장됩니다.
네트워크를 통한 동적 분석 기능 |
BEHAVIOR ACTIVITY AND NETWORK COMMS
API를 통한 IOCs 생성
다른 VT Enterprise 기능과 결합하여 보안 방어를 강화하는 표식의 피드를 생성하는 프로그래밍 작업을 구축하세요. 이를 위해 산소화 또는 정적 분석과 같은 기능을 활용할 수 있습니다.
라이브헌트: VIRUSTOTAL의 파일 플럭스에 연동 악성코드 사냥에 업로드된 YARA 규칙은 전 세계에서 VirusTotal로 전송된 모든 파일에 실시간으로 적용됩니다. 규칙이 일치하는 경우 즉시 알림을 받게 됩니다. 이 알림은 웹 인터페이스, 이메일 알림 또는 REST API를 통해 확인할 수 있습니다.
레트로헌트: YARA로 과거로 돌아가기
YARA 규칙을 작성하고 이를 기존 데이터셋에 적용하여 최근에 발견한 공격의 초기 버전을 발견합니다. 공격자가 시간이 지남에 따라 어떻게 진화했는지 이해합니다.
일치하는 파일 다운로드하여 오프라인 연구
규칙과 일치하는 파일을 다운로드하여 추가적인 오프라인 연구를 위해 사용할 수 있습니다. 전체 프로세스는 REST API를 통해 자동화될 수 있습니다.
VT GRAPH에서 캠페인 매핑
레트로헌트 일치 항목을 VT GRAPH로 전송하여 위협 캠페인을 시각적으로 그래프에 레이아웃합니다. 공통점 및 위협 인프라를 이해하는 데 도움이 됩니다.
RICH HUNTING SYNTAX
다양한 종류의 문자열
조건 용어는 16진수 문자열, 텍스트 문자열 또는 정규 표현식에 의존할 수 있습니다.
여러가지의 조건
조건 용어는 16진수 문자열, 텍스트 문자열 또는 정규 표현식에 의존할 수 있습니다.
확장 가능
PE 또는 Cuckoo 모듈과 같은 특정 모듈의 기능을 활용하여 파일 내용 특정 규칙과 행동 또는 구조적 조건을 결합할 수 있습니다.
VirusTotal 특정 외부 요소
파일에 대한 VirusTotal에서 생성된 데이터에만 해당하는 조건을 추가할 수 있습니다. 예를 들어, 태그, 백신 탐지 등입니다.
