Thiago Teixeira
EN | PT

VirusTotal

Google / Chronicle

Serviço de múltiplos engines e pivô de threat intel para hashes, URLs, arquivos e domínios.

Análise de Malware e Sandboxing Freemium Aplicação Web Praticado em Lab saas
Página Inicial

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O VirusTotal (Google) agrega mais de 70 engines antivírus e diversos analisadores de URL/arquivo atrás de uma única API e UI. Submeter hash, URL, IP ou domínio retorna veredictos, metadados, relatórios comportamentais de sandboxes e — com conta paga — o VT Intelligence, busca estilo Google sobre o corpus global.

Para o analista CySA+, o VirusTotal é a ferramenta universal de segunda opinião e pivô: dado um IOC, encontre toda amostra relacionada, todo domínio contatado, toda regra YARA que casou e toda campanha que reusou a infraestrutura.

Casos de uso

  • Segunda opinião em alerta de EDR
  • Pivotar de um hash para infraestrutura relacionada
  • Enriquecimento de detecções no SIEM (via API)

Exemplo

# Look up a file hash via the API
curl --request GET \
     --url https://www.virustotal.com/api/v3/files/<sha256> \
     --header "x-apikey: $VT_API_KEY"