【學長姊帶路】10個檢測惡意網址與檔案分析平台
原標《【資安工具】10個檢測惡意網址與檔案分析平台 (10 Free Online Virus Scanner Tools)》
文/Peter Zhang
現今企業日常資安防護中,都會建置/購置端點防護軟體、垃圾郵件過濾服務等,但這些措施面對企業內部「日常往來的郵件」、「資安意識薄弱使用者行為」始終無法完全100%避免使用者開啟惡意郵件檔案或惡意連結,以致最終發生資安防護系統偵測到異常行為或告警時都(IT/資安單位: …)。
有鑑於此,資安/網管單位總是會定期辦理「資訊安全教育訓練」,為讓使用者了解基礎資安知識與新聞,最終目的皆是為提升使用者資安意識,以提升判斷哪些是具高風險的郵件附檔、連結、簡訊!
當然第一線單位收到使用者反映釣魚郵件或可疑網址時,總是會請資安單位協助判斷郵件附加的短網址或檔案(.pdf/.doc/.xlsx/.pptx/.txt/.jpg等)安全問題。
因此本篇受眾族群主要專注在於「第一線IT/資安夥伴」在有限時間下,如何協助使用者透過本篇提到10項線上檢測平台迅速判斷可疑附檔、網址、IP的疑慮。
*當然這邊還是先強調,工具只是協助使用者作為判斷依據,不代表檢測結果一定是100%安全*
1. VirusTotal: https://www.virustotal.com/gui/home/upload
檢測項目:網址、檔案、網域、IP
這是一款在IT界無人不知曉的惡意檢測平台,可以檢測病毒、木馬和各種惡意軟體分析服務,其集結眾多資安業種搜尋引擎,以強化整體的檢測可行性。
VirusTotal除了可以告知使用者檢測的網址或檔案是否是惡意程式的可能,同時也提供視覺化來顯示分析結果,能讓使用者了解惡意網址、檔案或網域的關聯性。
VirusTotal實際操作結果:
Step1. 輸入欲檢測網址、IP等
Step2. 檢視分析結果
Step3. 檢視細部分析結果
VirusTotal進階分析結果:
VirusTotal具有非常多附加功能,基於本篇主要說明基礎運用,故不會提太多細部分析功能說明。
Step1. 圖形關聯分析平台功能,須從使用者依分析結果中進行點選,才會產製進階分析,如下圖請點選「地球連結圖示」。
Step2. 這邊你可以看到「原先網址分析的基礎關聯資訊」。
Step3. 左側可以檢視「原先網址分析的關聯性」與其他進階關聯性分析結果,包含網域資訊、IP位置、其他有關感染的網址、惡意檔案等細部資訊。
綜上針對VirusTotal進階分析僅提及到這,詳細的分享預計日後會獨立一篇分享VirusTotal細部的功能。
2. Cisco Talos: https://talosintelligence.com
檢測項目:網址、網域、IP、資安情報(漏洞趨勢、資安新訊等)
圖片來源: https://blog.talosintelligence.com/
Cisco旗下的Talos Intelligence Group 是目前世界最大的商業情報威脅團隊之一,其主要保護Cisco客戶免受已知以及未知的新威脅攻擊,同時Talos團隊也是目前維護知名的開源軟體Snort、ClamAV與SpamCop官方相關套件貢獻者。
Cisco Talos實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
3. MetaDefender Cloud: https://metadefender.opswat.com
檢測項目:網址、檔案、網域、IP、CVE
OPSWAT是一家全球知名的資安業者,主要專注領域在網頁清洗(Web CDR)、檔案深層掃描與清洗(CDR)、郵件清洗(Mail CDR)等服務。
OPSWAT實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
4. IBM X-Force Exchange: https://exchange.xforce.ibmcloud.com/
檢測項目:網址、檔案、網域、IP、CVE、#tag資訊搜尋、資安情報(漏洞趨勢、資安新訊等)
IBM旗下的X-FORCE Exchange 是一款SaaS級免費的威脅平報分享平台,用於快速研究最新的資安威脅、彙整最新情資與專業資安專家協同合作進行情資分析工作,以此提供使用者防範最新的資安威脅。
IBM X-Force Exchange實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
5. FortiGuard Web Filter Lookup: https://www.fortiguard.com/webfilter
FortiGuard Online Scanner: https://www.fortiguard.com/faq/onlinescanner
檢測項目:網址、檔案
Fortinet旗下的FortiGuard Labs目前有提供2款線上檢測平台,實際操作結果:
第1個Web Filter Lookup是檢測網址(平台內所提供的網址評論會在24小時內進行處理與更新)。
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
第2個Online Scanner是檢測檔案安全性(目前檔案最大上傳限制為10MB)。
6. Trend Micro Site Safety Center: https://global.sitesafety.trendmicro.com
檢測項目:網址
Trend Micro(趨勢科技)所提供的Trend Micro Site Safety Center,主要以網站的評級進行評分分類,其會以網站創立的時間、歷史位置與變化以及結合自有的惡意軟體行為分析來進行檢測可疑活動跡象。
Trend Micro Site Safety Center實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
7. Palo Alto Networks URL Filtering:
檢測項目:網址
Palo Alto Networks是知名的次世代防火牆,也是Gartner評定為2022網路防火牆品牌中的領導者。
Palo Alto Networks 所提供的URL Filtering功能,其資料庫是來自於自家所建立的PAN-DB URL,同時會比對過濾網址中的信譽/風險等級、網域歷史記錄分析、自有的機器學習式網路分類功能等。
Palo Alto Networks URL Filtering實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
Palo Alto Networks URL Filtering功能目前沒有提供檢測方式或檢測標準資訊,依自己目前使用其他檢測平台後,確實顯示結果較陽春,不過整體檢測結果也都蠻準確的(這是最重要的XD)。
8. Zscaler Zulu URL Risk Analyzer: https://zulu.zscaler.com/
檢測項目:網址
Zscaler是一家雲端網路安全公司,主要以SaaS方式提供資安服務,也是被Gartner評定為2022安全性服務邊緣(Security Service Edge)廠商的領導者。而Zulu URL Risk Analyzer平台提供即時檢測可疑網址與網址信譽紀錄服務,同時也提供細項檢測說明,如URL Information、Analysis Results(即時執行分析結果)、External Elements(相關網站關聯性檢測)、Content Checks與Host Checks等。
Zscaler Zulu URL Risk Analyzer實際操作結果:
實際使用Zscaler Zulu URL Risk Analyzer中,除了會比對既有惡意程式資料庫外,同步會針對該網址進行深度內容分析,以致需要等待一些時間。
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
9. FileScan.io: https://www.filescan.io/scan
檢測項目:網址、IP、網域、檔案
FileScan.io是一個免費檢測惡意軟體或網址平台,可以快速針對使用者所想檢測之內容進行深度分析,進而產製檔案分析細節、網址/網域分析細節、入侵威脅指標 (Indicators of Compromise, IOC)、其他檔案相關性分析、OSINT搜尋結果、地理位置等。
然而2022/10由OPSWAT宣布收購FileScan,同時該團隊成員也加入OPSWAT公司中,進而擴大OPSWAT旗下的惡意程式分析平台深度與精準度。
補充小知識:
入侵威脅指標 (Indicators of Compromise, IOC)是協助作為主機或網路上遭入侵的取證之依據。
然而專業的資安人員或系統管理人員會特別注意以下指標依據:
1.異常流量進出網路
2.系統中的未知檔、應用程式和流程
3.管理員或特權帳戶中的可疑活動
4.非正常活動,如在組織不與之開展業務的國家/地區的流量
5.可疑的登錄、訪問和其他網路活動,表明探測或暴力攻擊
6.公司文件中請求和讀取量異常激增
7.在異常常用埠中穿越的網路流量
8.篡改檔、功能變數名稱伺服器 (DNS) 和註冊表配置以及系統設置(包括行動裝置中的更改)的變化
9.大量的壓縮檔和數據無法解釋地發現在它們不應該的位置
參考資料:
1.https://www.trendmicro.com/vinfo/us/security/definition/indicators-of-compromise
2.https://choson.lifenet.com.tw/?p=218
FileScan.io實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
FileScan.io分析結果如下圖30所示,共有7個掃描結果頁籤,其中有針對檔案、網址等提供更進一步的分析結果。
本篇中僅針對網址進行安全性分析,故僅點選「URL Details」檢視網址深度分析結果資訊,如圖31所示
10. Google資訊公開報告-網站狀態: https://transparencyreport.google.com/safe-browsing/search
檢測項目:網址
圖片來源: google 資訊公開報告網站
Google資訊公開報告現況提供使用者了解政府機關、企業政策行動,如何影響隱私權安全性與資訊傳播性。除此也透過Google既有的「安全瀏覽」技術每日檢查數十億個網址,找出不安全的網站。這也是後期使用Google Chrome時,會自動跳出偵測與阻擋不安全網站功能之依據。
Google安全瀏覽實際操作結果:
Step1.輸入欲檢測的目標資料
Step2.檢視分析結果
下圖表為彙整本篇提到的10個線上檢測平台彙整比較資訊。
綜上提到了10項檢測可疑網址與檔案平台,能協助第一線的網管、資安夥伴或是使用者可先行自我檢測與判斷是否安全,但還是得強調現行的資安攻擊方式百百種,所有檢測工具都是基於既有的知識庫與已知攻擊行為進行分析,因此工具分析結果僅是作為判斷依據之一,無法100%保證無害。
額外補充:
先前曾介紹一套SpiderFoot HX是一套OSINT工具,該工具被歸類於紅隊演練工具之一,如下方連結文章所示,可以透過既有已知的一些資訊進行關聯性搜尋與比對,如郵件寄件人、IP、姓名、社群媒體、暗網資料等,以找出相關性,如黑名單網域、惡意IP、釣魚網址、網站漏洞等資訊,利於資安人員可以快速判定寄件人資訊是否有問題。
(前提須具有一定知識與資源(錢)才能有效利用SpiderFoot HX回饋資訊進行後續判定與新增相關防護措施)。
【滲透測試LAB】如何使用OSINT — SpiderFoot 執行情蒐
參考資料:
- Cisco Talos
- IOC
- VirusTotal
- MetaDefender Cloud
- IBM X-Force Exchange
- FortiGuard
- Trend Micro Site Safety Center
- Zscaler Zulu URL Risk Analyzer
- Palo Alto Networks URL Filtering
- FileScan.io
- Google資訊公開報告-網站狀態
※本文由 Peter Zhang 授權勿任意轉載,原文《【資安工具】10個檢測惡意網址與檔案分析平台 (10 Free Online Virus Scanner Tools)》
瀏覽 208 次