VirusTotal, tehdit avlama ve algılama mühendisliği çabalarını artırmak amacıyla, öldürme zincirinin erken aşamalarında kullanılan görüntü ve eserlere odaklanarak düşman faaliyetlerini izlemek için yenilikçi teknikler tanıttı. Bu yaklaşım değişikliği, silahlandırma ve teslimat aşamalarında oluşturulan örneklerin analiz edilmesiyle tehdit avlama ve algılama çabalarını güçlendirmeyi vaat ediyor. Yeni yöntemler, geleneksel uygulamalardan önemli ölçüde ayrılıyor ve öldürme zincirinin son aşamalarına, yani yürütme ve hedef üzerindeki eylemlere vurgu yapılmasından ziyade, ilk aşamalara odaklanıyor.
Yeni Yaklaşımlar ve Entegrasyonlar
VirusTotal, Google’ın bir yan kuruluşu olarak, dosyaların ve URL’lerin olası zararlı yazılımlar ve diğer tehdit türleri açısından analiz edilmesini sağlayan ücretsiz bir çevrimiçi hizmet sunmaktadır. 2004 yılında başlatılan platform, potansiyel tehditlerin tespit oranını artırmak için birden fazla antivirüs motorunu ve web sitesi tarayıcısını bir araya getiriyor. Kullanıcılar, dosyaları, URL’leri, alan adlarını ve IP adreslerini analiz için gönderebilir. Hizmet, tehditlerin doğası hakkında bilgiler sunar ve sonuçları siber güvenlik topluluğuyla paylaşarak kolektif tehdit istihbaratına katkıda bulunur.
Erken Aşama Analizi ve Tehdit Tespiti
VirusTotal, tarihsel olarak öldürme zincirinin son aşamalarına odaklanmış, uç nokta algılama ve tepki (EDR) ve güvenlik bilgi ve olay yönetimi (SIEM) araçlarından elde edilen bilgileri kullanmıştır. Ancak, Berlin’deki FIRST CTI ve Nice’teki Botconf’ta yapılan son sunum, Microsoft Office belgelerinde ve PDF’lerde gömülü dosyaları ve görüntüleri analiz ederek silahlandırma ve teslimat aşamalarına yeni bir odak sunmuştur. Bu değişiklik, tehdit aktörlerinin sıklıkla kullandığı eserleri inceleyerek tehditleri öldürme zincirinde daha erken yakalamayı amaçlamaktadır.
- Erken aşamada gömülü dosya ve görüntü analizi tehdit aktörü modellerini ortaya çıkarabilir.
- AI araçları, şüpheli belgelerin tanımlanmasını hızlandırır.
- Belirli XML ve görüntü dosyalarının yeniden kullanımı, birden fazla tehdidi tek bir aktöre bağlar.