PCAP-Analyse – jetzt auf VirusTotal

Der Webdienst VirusTotal wird ab sofort nicht nur Dokumente und ausführbare Dateien auf Schädlichkeit untersuchen, sondern auch im Format PCAP gespeicherte Netzpakete.

PCAP-Dateien werden beim Abfangen des Traffics erstellt und enthalten Netzdaten, die einer anschließenden Analyse unterzogen werden. Dieses Format wird von vielen Sniffern unterstützt, sowie von Programmen zum Monitoring und Testen des Netzes. Analysten von schädlichen Objekten verwenden üblicherweise PCAP zum Aufzeichnen der Netzaktivität von Schadcode, der in der Sandbox ausgeführt wird; zum Aufzeichnen von Versuchen, Sicherheitslücken im Browser auszunutzen, zur Registrierung des Traffics auf Netzgeräten und in Intrusion Detection Systemen usw.

VirusTotal hat schon früher häufiger PCAP-Dateien von Anwendern zur Untersuchung erhalten, und die Experten des Dienstes möchten diese Anwender mit ihrer Neueinführung bei ihren Untersuchungen unterstützen. Die Analyse der PCAP-Dateien wird in mehreren Etappen vollzogen:

  • Untersuchung der Datei mit Hilfe von Intrusion Detection Systemen – derzeit Snort und Suricata;
  • Herausziehen der Metadaten mit Hilfe von Wireshark;
  • Registrierung der DNS-Anfragen;
  • Registrierung der http-Aktivität;
  • Herausziehen der Dateien, die in den Netzströmen weitergegeben werden, mit anschließender Überprüfung durch Antiviren-Programme aus der Liste von VirusTotal.

Kopien dieser Dateien werden dem registrierten Anwender zur Verfügung gestellt, der die entsprechende PCAP-Datei zuerst zur Überprüfung eingeschickt hat.

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.