VirusTotal Collections özelliği düzgün IoC listelerinin tutulmasına yardımcı olur

Tarama hizmeti VirusTotal bugün, araştırmacıların güvenlik olaylarında gözlenen uzlaşma göstergeleriyle raporlar oluşturmasına ve paylaşmasına izin veren Koleksiyonlar adlı yeni bir özelliği duyurdu.

Uzlaşma göstergeleri (IoC’ler), siber saldırıları araştırırken ortaya çıkarılan veri parçalarıdır (dosyalar, dijital adresler), araştırmacıların ve şirketlerin bir saldırıyı erken aşamalarda tespit etmelerine veya onlara karşı savunmalarına yardımcı olabilir.

Temiz IoC sayfası

VirusTotal Collections, araştırmacılara IoC’leri depolamanın, güncellemenin ve bilgi birimi topluluğunun diğer üyeleriyle paylaşmanın kolay bir yolunu sunar ve güvenlik olayları ve tehdit aktörleri etrafında daha fazla bağlam oluşturur.

Tehdit araştırmacıları, bir başlık ve bir işlem açıklamasıyla birlikte gelen bir rapora ayrı IoC grupları (dosya karyozları, IP adresleri, URL’ler, etki alanları) eklemek için koleksiyonları kullanabilir.

Bir koleksiyondaki tüm IoC’lere, algılama oranını, yapının ilk ve son görüldüğü zamanı ve dosya boyutunu içeren VirusTotal’dan veriler eşlik edilir.

Etki alanı adları ve IP adresleriyle, hizmet aynı zamanda kayıt şirketi, ülke ve özerk sistemin adını ve güvenlik olayı yapıtlarının tek tek aranmasında olduğu gibi yönetici ağ operatörini de sağlar.

Aşağıda, kötü amaçlı yazılım araştırmacıları için Malpedia ücretsiz kaynağından, geçersiz GandCrab fidye yazılımı için uzlaşma göstergelerinin toplanmasına bir örnek verilmiştir.

Malpedia’nın GandCrab IoC dosya hashes koleksiyonu:

Malpedia’nın GandCrab IoC ilgili alan adları koleksiyonu:

Güvenlik araştırmacıları VirusTotal’daki yeni özelliği alkışlıyorlar ve genellikle tweet’ler ve metin depolama hizmetleri aracılığıyla paylaşılan IoC koleksiyonları oluşturmaya başladılar.

Koleksiyonlar ile VirusTotal, tehdit araştırmacılarının işbirliği yapması ve erişimi ve dağıtımı kolay eyleme uygulanabilir zeka bulması için daha basit bir yol sağlar.