Анализ PCAP — теперь на VirusTotal

Веб-сервис VirusTotal отныне будет проверять на зловредность не только документы и исполняемые файлы, но и сохраненные в формате PCAP сетевые пакеты.

PCAP-файлы создаются в процессе захвата трафика и содержат сетевые данные, которые впоследствии подвергаются анализу. Этот формат поддерживают многие сниферы, а также программы мониторинга и тестирования сети. Исследователи вредоносных объектов обычно используют PCAP для записи сетевой активности вредоносного кода, исполняемого в песочнице; попыток эксплуатации уязвимостей в браузере клиента-ловушки, для регистрации трафика на сетевых устройствах и в системах обнаружения вторжений (IDS), и т.п.

Ранее сервис уже неоднократно получал от пользователей PCAP-файлы на экспертизу, и специалисты VirusTotal рассчитывают, что нововведение поможет таким пользователям в их исследованиях. Анализ PCAP-файлов будет производиться в несколько этапов:

• проверка файла с помощью IDS — на данный момент Snort и Suricata;
• извлечение метаданных с помощью Wireshark;
• регистрация DNS-запросов;
• регистрация http-активности;
• извлечение файлов, передаваемых в сетевых потоках, с последующей их проверкой антивирусами из списка VirusTotal. Копии этих файлов будут предоставляться зарегистрированному пользователю, первым приславшему данный PCAP на проверку.