Das #Tool für diesen #WerkzeugKastenMittwoch schaut sich Dateien und URLs ganz genau an!
VirusTotal ist ein Onlineservice zum Untersuchen von verdächtigen Dateien, Domains, IPs und URLs auf Schadsoftware.
⚠️ Auch hier wieder gleich zu Beginn der wichtige Hinweis, alle hochgeladenen Dateien sind für die Virustotal Community zum herunterladen und einsehen verfügbar! 𝗕𝗶𝘁𝘁𝗲 𝗸𝗲𝗶𝗻𝗲 𝗗𝗮𝘁𝗲𝗶𝗲𝗻 𝗵𝗼𝗰𝗵𝗹𝗮𝗱𝗲𝗻 𝗱𝗶𝗲 𝗙𝗶𝗿𝗺𝗲𝗻 𝗜𝗻𝘁𝗲𝗿𝗻𝗮 𝗼𝗱𝗲𝗿 𝗽𝗲𝗿𝘀𝗼̈𝗻𝗹𝗶𝗰𝗵𝗲 𝗗𝗮𝘁𝗲𝗻 𝗯𝗲𝗶𝗻𝗵𝗮𝗹𝘁𝗲𝗻!
🔎 Virustotal scannt hochgeladene Dateien mit ca. 57 Scann-Engines, zeigt neben dem Scanergebnis Dateieigenschaften wie verschiedene Hashes, Größe an und unter welchen Namen dieselbe Datei ebenfalls schon einmal hochgeladen wurde. Auch Analysen aus Sandboxen werden mit einbezogen. Neben Dateien direkt hochzuladen besteht auch die Möglichkeit nur die Hashes der Dateien (MD5, SHA-1, SHA265...) einzugeben.
🌍 Bei Eingabe von URLs erhält man unter anderem eine Kategorisierung der Seite, die IP, den Statuscode, Header und ggf. sogar, mit welchem CMS die Seite erstellt wurde. Die URL wird neben den Scan-Engines auch mit bekannten Sperrlisten abgeglichen.
⚙️ Natürlich lässt sich dieser Dienst auch über eine API ansprechen, um ihn in Security Workflows zu integrieren. Wie z.B. in ein kleines Skript von mir, um verdächtige IPs zu untersuchen. https://github.com/bboerzel/ipcheck
💰 Mit den bezahlten Premium Services kann Virustotal viel umfangreicher für #ThreatIntelligence und #ThreatHunting eingesetzt werden.
Hier geht es zu VirusTotal: https://www.virustotal.com