本文主要围绕了现有的几个热门情报库进行了部分分析,包括VirusTotal,ThreatCrowd,IBMX-force,VirusBook以及VirusMiner。分析点包括数据来源分析,提供的功能及服务,以及情报质量。废话不多说,直接上干货~
一、VirusTotal
1.1 数据来源:
VirusTotal 共有 51 个防毒引擎进行侦测,数据主要来源于这些引擎提供的资料,最近增加一些自己分析的数据结果。
1.2 主要功能与服务形式
1. 搜索文件的扫描报告,可以只输入其哈希
2. 搜索URL扫描报告
3. 寻找IP地址信息
4. 搜索域名信息
5. 搜索VirusTotal Community users
6. 搜索VirusTotal Community comments
7. 包含其他的功能,YARA规则匹配,样本聚类等。
8. 提供免费公共的API
https://www.virustotal.com/zh-cn/documentation/public-api/
9. 提供服务交互的桌面应用程序
1.3 情报质量
质:VirusTotal搜索到的信息来自于其他的防毒引擎,自身并不做任何更改与删减,但是近期做了一些自主的分析报告,增加了对于情报的筛选工作。增加了信息的可靠性和自主控制性。
量:VirusTotal 共有 51个防毒引擎对威胁信息进行侦测,基本可覆盖网络中公开的资源。
1.4 附加 YARA规则匹配样本聚类
YARA是帮助研究人员识别和分类恶意样本。可以使用YARA创建恶意团队的文本描述或二进制模式描述。每种描述或者规则,需要包含字符串和布尔表达式。
使用命令行接口或者从Python script使用yara的python接口。