OpenTIP, сезон-2: заходите чаще!

[KL FC Bot]

Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).

Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «киберниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.

За год жизнь этих 5% стала гораздо сложнее, потому что зловредный биовирус выгнал мир на «удаленку» и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «Дайте доступ по API и увеличьте лимиты!»

Сказано – сделано!

В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям ее категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.

Во-первых, отсылать артефакты на проверку можно будет по API — интегрируйте OpenTIP в свои процессы анализа тем способом, который считаете наиболее быстрым и удобным. Кроме неограниченного количества файлов проверять можно и прочие подозрительные артефакты, такие как URL, IP и хэши.

Во-вторых, когда речь идет об исполняемом файле, кроме вердиктов о том, что именно в нем кажется подозрительным, OpenTIP теперь выдает больше первичного сырья для анализа. Сюда относятся данные о структуре PE-файлов, а также извлеченные из них текстовые строки. В рамках квоты можно воспользоваться нашей Kaspersky Sandbox, которая вообще-то является платным самостоятельным продуктом.  Ну и наконец, в настройках появится кнопка «Private submission», которая позволит проверять артефакты, вообще никак не сообщая миру о том, что они были загружены на OpenTIP. Мы и раньше не позволяли никому «подписываться» на чужие файлы, но теперь в публичную историю можно не отправлять никакие проверенные на портале индикаторы.

Впрочем, даже без регистрации улучшения Open Threat Intelligence Portal будут заметны невооруженным глазом.

Более удобный веб-интерфейс сэкономит вам время и приятно порадует глаз :), а результаты анализа будут гораздо информативнее.

Ко второй версии мы подключили дополнительные технологии поведенческого анализа. Напомню, что портал выдает не просто вердикт «заражен/чист», как в традиционной endpoint-защите, а детальный разбор подозрительных свойств, на основании которых живой белковый аналитик принимает решения о том, копаться ли в вопросе дальше.  Для подозрительных URL будет также доступна категоризация по опасным свойствам.

Ну а для тех, кому нужно еще больше функций, у Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счет детальных отчетов наших аналитиков о найденных киберугрозах.

В общем, хватить читать описания — проще один раз сходить и попробовать! Просто закинуть на OpenTIP подозрительный файл самостоятельно. Для тех, кто не подписан на сервисы Threat Intelligence, портал будет незаменим (нет-нет, я помню про VirusTotal, но об этом — в прошлом посте). Но максимальную пользу из OpenTIP извлекут те, кто будут пользоваться им не от случая к случаю, а встроят его в повседневный процесс анализа кибергадости.

View the full article

[Polik]

закидываю шифровальщик уже 4дня , пишет файл Угрозы не обнаружены. Жму кнопку Отправить для повторного анализа, ввожу емайл - в ответ на мыло ничего не приходит.

Шлю запароленный шифровальщик на newvirus@kaspersky.com , в ответ тишина.

Как отправить шифровальщик в вирлаб? 

[ska79]

7 минут назад, Polik сказал:

Как отправить шифровальщик в вирлаб? 

Создайте запрос в службу техподдержки прикрепите файл в запароленном архиве

[Polik]

2 минуты назад, ska79 сказал:

Создайте запрос в службу техподдержки прикрепите файл в запароленном архиве

а если у меня нет аккаунта My Kaspersky? или файлы могут отправлять только рег. пользователи? что-то перемудрили с этим. Это очень сильно отталкивает от продуктов ЛК

[kmscom]

@Polik создайте аккаунт и это приблизит к продуктам ЛК

 

какой размер файла вы отправляете ?

[Polik]

22 часа назад, kmscom сказал:

@Polik создайте аккаунт и это приблизит к продуктам ЛК

 

какой размер файла вы отправляете ?

1.1 mb

Изменено 5 ноября, 2020 пользователем Polik

[regist]

04.11.2020 в 09:13, Polik сказал:

Шлю запароленный шифровальщик на newvirus@kaspersky.com , в ответ тишина.

Есть подозрение, что файл всё равно обработают, просто на почту не отвечают. Раньше хоть был ответ от робота по первичным данным, а после переделки и его убрали. Не понятно, неужели этот автоответчик так нагружал ресурсы ЛК?

 

@Polic, прошло 4 дня, а детект так и не появился? Может его уже давно добавили, просто повторюсь сейчас на почту не отвечают.

[Polik]

17 часов назад, regist сказал:

Есть подозрение, что файл всё равно обработают, просто на почту не отвечают. Раньше хоть был ответ от робота по первичным данным, а после переделки и его убрали. Не понятно, неужели этот автоответчик так нагружал ресурсы ЛК?

 

@Polic, прошло 4 дня, а детект так и не появился? Может его уже давно добавили, просто повторюсь сейчас на почту не отвечают.

 

прошло 5 дней. базами детекта нет, для ksn файл неизвестен, даже после создания запроса в службе поддержки (вчера создавал в примерно 13:00 по киевскому времени), сейчас 8:55. 

Это очень долго, ребята. +Непонятно попадает ли оно в вирлаб через емайл и сервис опен тип.

Изменено 6 ноября, 2020 пользователем Polik

[Friend]

@Polik а другие антивирусные компании детектирует? Загрузите файл https://www.virustotal.com/gui/ и поделитесь результатами анализа.

[Polik]

2 часа назад, Friend сказал:

@Polik а другие антивирусные компании детектирует? Загрузите файл https://www.virustotal.com/gui/ и поделитесь результатами анализа.

детектируют, я как бы не вчерашний. и куда отправлял уже все обработали файл давным давно.

  когда скачал файл с интернета определяло только 6 двигателей. посмотрите сейчас 

Virustotal

Изменено 6 ноября, 2020 пользователем Polik