Анализ PCAP - теперь на VirusTotal

[Viruslist.com]

Веб-сервис VirusTotal отныне [будет проверять][1] на зловредность не только документы и исполняемые файлы, но и сохраненные в формате PCAP сетевые пакеты.

PCAP-файлы создаются в процессе захвата трафика и содержат сетевые данные, которые впоследствии подвергаются анализу. Этот формат поддерживают многие сниферы, а также программы мониторинга и тестирования сети. Исследователи вредоносных объектов обычно используют PCAP для записи сетевой активности вредоносного кода, исполняемого в песочнице; попыток эксплуатации уязвимостей в браузере клиента-ловушки, для регистрации трафика на сетевых устройствах и в системах обнаружения вторжений (IDS), и т.п.

Ранее сервис уже неоднократно получал от пользователей PCAP-файлы на экспертизу, и специалисты VirusTotal рассчитывают, что нововведение поможет таким пользователям в их исследованиях. Анализ PCAP-файлов будет производиться в несколько этапов:

* проверка файла с помощью IDS - на данный момент Snort и Suricata;
* извлечение метаданных с помощью Wireshark;
* регистрация DNS-запросов;
* регистрация http-активности;
* извлечение файлов, передаваемых в сетевых потоках, с последующей их проверкой антивирусами из списка VirusTotal. Копии этих файлов будут предоставляться зарегистрированному пользователю, первым приславшему данный PCAP на проверку.

[1]: http://blog.virustotal.com/2013/04/virustotal-pcap-analyzer.html

URL: http://www.securelist.com/ru/blog/207764631/Analiz_PCAP_teper_na_VirusTotal