Le service VirusTotal, qui peut exécuter jusqu'à 20 scanners antivirus, peut désormais rechercher des signes d'infections de logiciels malveillants dans le trafic réseau capturé. Pour effectuer une vérification, les utilisateurs doivent uploader les paquets réseaux capturés au format PPCE.
Ces dumps de trafic réseau peuvent être créés avec Wireshark ou tcpdump par exemple. VirusTotal va extraire tous les fichiers transmis et les présenter aux scanners de virus connus. Le service retournera des copies des fichiers extraits et se penchera sur les données de trafic réseau avec les systèmes de détection Snort et Suricata. Ces services peuvent, par exemple, détecter la communication entre un client et son serveur botnet C&C ainsi que d'autres schémas d'attaques typiques.
Cependant, ce type d'analyse va produire des logs assez verbeux sur un trafic qui pourrait être potentiellement malicieux et les utilisateurs devront eux-même décider s'ils ont affaire à un faux positif. Un autre aspect intéressant est l'information supplémentaire qui est générée lors de l'analyse qui peut fournir des indications sur les activités au sein d'un réseau comme sur le screenshot de l'analyse ci-dessus. Par exemple ici, VirusTotal liste toutes les requêtes DNS et requêtes HTTP trouvées.
Ça pourrait service à des admins système ou des spécialistes en sécurité pour extraire rapidement des informations importantes.
MISES A JOUR DE L'ARTICLE |
Très bonne nouvelle
!!