Google'ın çok yaygın olarak kullanılan Virüs Total hizmetinin başlangıç hikayesine bir göz atalım. İspanyol güvenlik şirketi Hispasec Sistemas tarafından geliştirilen bu yazılım, Haziran 2004'te faaliyete geçti. 2012 yılında Google tarafından satın alındı ve 2018'de Google'ın güvenlik çözümlerindeki yan kuruluşu olan Chronicle ailesine katıldı. Rakamlarla bu büyük veri tabanının ne kadar kapsamlı olduğuna değinecek olursak, 15 yıldan uzun süredir 232 ülkede günlük yaklaşık 2 milyon kişinin kullandığı bir analiz aracından bahsediyoruz. Bu analiz aracı, günlük olarak yaklaşık 6 milyon URL, 2,5 milyar pDNS, 1.6 milyar domain ve 2 milyon dosya analiz ediyor.
Çok yaygın olarak bilinen bir hizmet hakkında neden bir şeyler anlatma ihtiyacı duyduk? Google Virüs Total'in sunduğu IP, domain, hash ve dosya sorgularının yanı sıra belirli bir limitasyona sahip API entegrasyonu ile public hesabı oldukça popüler. Ancak, pek fazla bilinmeyen bir premium hesap uygulaması bulunmaktadır. Bu yazıda, premium hesaba geçtiğinizde hangi özellikleri kullanabileceğine değineceğiz.
Enterprise lisans ile birlikte, web arayüzünün değiştiğini ve 50'nin üzerinde arama motorunun eklendiğini görüyoruz. Bu noktada, dosya, URL ve çoklu arama motorlarını modifiye etmemiz ve aramaları zenginleştirmek için farklı parametreler eklememiz mümkün hale geliyor. Facebook'ta bir isim aratır gibi, zararlı bir dosya, tehdit aktörü veya adli veri soruşturması için yaptığımız aramaları zenginleştirebiliriz. Örneğin, spesifik olarak hex kodlaması yapılmış bir metni içeren aramalar veya anti-virüs sağlayıcılarından 5'inden fazlasının ya da 10'undan fazlasının algıladığı tüm XML dosyalarını taratma gibi özelleştirmeler yapabilirsiniz. Bu sayede, aramaları dilediğiniz gibi özelleştirerek, siber güvenlik çözümlerimizle entegre çalışarak daha başarılı sorgu sonuçları elde edebilirsiniz.
VTIntelligence
Enterprise/premium lisanslama ile arama motorlarını modifiye etmenin yanı sıra, adli veri soruşturma çalışmalarının daha spesifik bir şekilde yapılabilmesinden bahsetmiştik. Threat intelligence servisi, premium lisans ile birlikte bazı ek özellikleri de kullanımınıza sunuyor. Threat landscape ile, Google Virus Total topluluğuna eklenmiş en güncel saldırı vektörleri, IOC'ler, Telemetry verileri ve tespit edilen saldırı vektörlerinin ilişkisel haritası (Graph) hakkında araştırma yapmanız mümkün oluyor.
Araştırmanızı derinleştirmek veya daha kapsamlı sonuçlara ulaşmak için arama kriterlerinizi tehdit aktörünün kaynak ülkesi, hedeflenen ülke ve saldırı türü gibi ayrıntılarla detaylandırabilirsiniz. Ayrıca, Threat Intelligence servisi, 200'den fazla yapısal kümelenme sunar. Bu kümelenmeler, Google Virus Total topluluğuna yüklenmiş tüm taşınabilir dosyalar, PDF belgeleri ve Office dokümanları gibi verileri kapsar. Bu alandaki tüm araştırma raporları, bu kümelenmeler içinde yer almaktadır.
VTHunting
Enterprise lisansla gelen en önemli özelliklerden biri, IOC ve Yara Rules yetenekleridir. Google, tespit edilen IOC’lere dayanarak otomatik bir Yara Kural seti oluşturmanıza olanak tanır. Bu kuralları, gerçek zamanlı veya geriye dönük soruşturmalarınızda kullanabilirsiniz. En etkileyici özelliklerden biri, Yara Kural seti oluştururken herhangi bir bilgi gereksinimi olmadan işlem yapabilmenizdir. Belirli bir tehdit aktörüne yönelik olarak Google Virus Total veri tabanındaki araştırma sonuçlarını filtreleyebilir ve bu kuralları gerçek zamanlı Live Hunt ya da geçmişe yönelik Retro Hunt analizlerinde kullanabilirsiniz.
Threat intelligence servisi ile yapılan araştırmalar sonucunda belirlediğiniz zararlı bir aktivitenin hash’ini tek bir tıklama ile Live Hunt veya Retro Hunt kural setlerinize ekleyebilirsiniz. "Follow" düğmesine basmanız yeterlidir. Kısacası, Yara Kuralları oluşturmak için herhangi bir script bilgisine ihtiyaç duymazsınız; Google VT, bu süreci sizin için son derece otomatikleştirmiştir.
Hazır kural setleri size uygun gelmez ve kendi kurallarınızı yazmak isterseniz, Google VT bunu da kolaylaştırmış. New VTDiff oturumu ile hangi malware ailelerini, tehdit kampanyalarını ve tehdit aktörlerinin araçlarını eklemek istediğinizi seçip hangi hash'leri hariç tutmak istediğinizi belirttiğinizde, Google VT sizin için otomatik olarak bir Yara Kural seti oluşturur.
VTGraph
Graph, node tabanlı segmentasyon yapısı ile sorguladığınız bir dosyanın, URL'nin veya IP'nin hangi alt alan adları ile iletişim kurduğunu ve hangi gömülü URL'lere istek gönderdiğini ilişkisel görselleştiriyor.
Kendi araştırma raporlarınızı görselleştirebileceğiniz gibi, Google VT veri tabanındaki en güncel araştırma raporlarına da erişme imkanınız var. Burada belirli bir saldırı vektörüne odaklanarak sorgu sonuçlarınızı daraltabilirsiniz. Ayrıca, saldırgan kampanyalarında benzerlikleri otomatik olarak tespit edebilir ve bu doğrultuda IOC'ler oluşturarak kendi güvenlik yazılımlarınıza entegre edebilirsiniz.
Private Scanning
Google Virus Total'e yüklediğiniz tüm dosyalar, sorguladığınız IP'ler, alan adları, URL'ler ve hash'ler gibi bilgiler VT topluluğuyla paylaşılır. Temel amaç ve odak noktası, sıfırıncı gün saldırı vektörlerini tespit eden kullanıcıların bu bilgileri topluluğa ileterek araştırma raporlarını ve güvenlik yazılımlarını güncel tutmaktır. Ancak, araştırma için yüklediğiniz bir dosyanın veya alan adı, URL, hash gibi bilgilerin VT topluluğuyla paylaşılmamasını istiyorsanız, Private Scanning özelliğini kullanabilirsiniz.
Yüklediğiniz dosyayı Sandbox'a yüklemek yerine daha hızlı sonuçlar almak için static analiz kullanmayı tercih edebilirsiniz. Ayrıca, dosyanın internete erişimi etkinleştirilip etkinleştirilmeyeceğini, Private Scan alanında dosyanın kaç gün saklanacağını ve hangi bölgede saklanacağını seçme olanağınız bulunmaktadır.
VT Feed
VirusTotal'in intelligence feed servisinden bahsedelim biraz. File Feed, Sandbox Feed, Domain Feed, IP Feed, URL Feed gibi servisler sayesinde, VirusTotal tarafından analiz edilen her dosya hakkında bilgi içeren JSON formatındaki verileri güvenlik servislerinizle sürekli olarak entegre edebilirsiniz. Bu Feed'leri dakikalık veya saatlik olarak alabileceğiniz gibi, örneğin son 7 günlük araştırma raporlarına erişip güvenlik servislerinizle entegre edebilirsiniz.
Google VirusTotal Premium hesabı ile kullanabileceğiniz servislerden kısaca bahsettik. Ancak, her bir servis daha fazla özellik sunmaktadır. Daha detaylı bilgi için yazının sonunda paylaştığımız web sayfalarını ziyaret edebilirsiniz.
Comments