# VirusTotal for SOC analysts

## File Analysis with VirusTotal

\
Để xem kết quả phân tích tệp của các công ty AV khác nhau, bạn có thể tải tệp lên VirusTotal và tìm hiểu xem các sản phẩm AV có phát hiện tệp này là độc hại hay không.

* Xin lưu ý rằng người dùng VirusTotal cao cấp có thể tải xuống các tệp đã tải lên. Vì vậy, nếu bạn nghi ngờ tệp đó có thể chứa thông tin nhạy cảm thì bạn không nên tải lên VirusTotal.

<figure><img src="/files/HTkz7eHxzwZH3k805W38" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/br2IfG0Efr6QJeXHJNsi" alt=""><figcaption></figcaption></figure>

Trong hình ảnh bên dưới có ghi rằng 49 trong số 65 công ty bảo mật đã phát hiện tệp này là độc hại.

<figure><img src="/files/znJ3jESqBDBgkLcyXleF" alt=""><figcaption></figcaption></figure>

Trong phần tags, có thông tin về cách phân loại tệp. Ví dụ: có thông báo rằng tệp chúng tôi tải lên chứa "macro" và bị "obfuscated".

<figure><img src="/files/DUWxltXfFsWvDYNJZfnc" alt=""><figcaption></figcaption></figure>

### **Detection**

Trong phần Detection, bạn có thể xem nhãn mà nhà cung cấp đã đánh dấu tệp là độc hại.

<figure><img src="/files/os3jzQnMrOJSSkrWJ9t3" alt=""><figcaption></figcaption></figure>

### **Details**

Tại đây bạn có thể tìm thấy một số thông tin cơ bản về tệp và chi tiết về lịch sử VirusTotal của nó. Ví dụ: vùng "Basic Properties" chứa file hash information và hơn thế nữa.

<figure><img src="/files/c4QNNaJ7XU5OnOwzBFaR" alt=""><figcaption></figcaption></figure>

Trong trường "History", có ngày phân tích đầu tiên và cuối cùng của tệp trong VirusTotal.

<figure><img src="/files/6orhkWfM0xIFOKkhBpbE" alt=""><figcaption></figcaption></figure>

Đối với các nhà phân tích SOC thì điều này rất quan trọng, vì khi tải lên phân tích mà nếu tệp này đã được phân tích trước đó, bạn có thể rút ra kết luận rằng phần mềm độc hại này không được viết riêng cho tổ chức của bạn. (Không chính xác, nhưng có nhiều khả năng hơn.) Tương tự, nếu bạn xem một tệp đã được phân tích trước đó, bạn có thể hiểu rằng cuộc tấn công này được thực hiện trên các tổ chức khác nhau.

### **Relations**

Đây là tab hiển thị thông tin chi tiết về miền, IP, URL và các tệp khác mà tệp đáng ngờ trong tay bạn giao tiếp. Dữ liệu hiển thị ở đây được quét bởi các nhà cung cấp bảo mật trong VirusTotal và bạn có thể xem kết quả.

<figure><img src="/files/kBom8KQCft8ZvdhOgQQ4" alt=""><figcaption></figcaption></figure>

Bạn thường có thể sử dụng tab này để kiểm tra địa chỉ đáng ngờ mà tệp đang liên lạc. Đồng thời, bạn có thể phát hiện các hoạt động liên lạc đáng ngờ nhanh hơn bằng cách xem danh tiếng của nó bằng điểm “**Detections**”. Có một điểm quan trọng cần lưu ý: phần mềm độc hại thế hệ mới không phải lúc nào cũng có hành vi giống nhau. Họ cố gắng vượt qua các giải pháp bảo mật bằng cách thực hiện các hành động khác nhau trong các hệ thống khác nhau. Vì lý do này, các địa chỉ bạn hiển thị trong tab **Relations** có thể không cung cấp toàn bộ danh sách mà phần mềm độc hại muốn liên lạc, bạn nên lưu ý rằng danh sách này có thể không đầy đủ.

### **Behavior**

Điều quyết định liệu một tập tin có độc hại hay không là hoạt động của nó. Trong tab "Behavior", bạn có thể thấy các nhà sản xuất khác nhau liệt kê các hoạt động mà tệp được quét đã thực hiện. Trong số các hoạt động này, bạn có thể gặp phải nhiều hành vi như network connections, DNS queries, file reading/detection, registry actions and process activities.

<figure><img src="/files/V87jVtWxuq1IIUb6M4eK" alt=""><figcaption></figcaption></figure>

LƯU Ý QUAN TRỌNG: Như chúng tôi đã đề cập trước đó, phần mềm độc hại ngày nay có thể không phải lúc nào cũng có hành vi tương tự. Ví dụ: phần mềm độc hại không thể giao tiếp với command and control center (CC) có thể không tự kích hoạt. Nếu the command and control center of the malware mà bạn muốn phân tích không hoạt động thì các phân tích động và tĩnh có thể không mang lại kết quả rõ ràng. Trong những trường hợp như vậy, bạn nên tìm các báo cáo phân tích cũ được tạo trong các môi trường như VirusTotal và kiểm tra hành vi như trong tab "Behavior"

### **Community**

Bạn có thể xem các bình luận được cộng đồng thêm vào trong lĩnh vực này. Đôi khi, có những người chia sẻ những chi tiết quan trọng về cách lấy được tệp đáng ngờ, những gì cần được xem xét trong quá trình phân tích hoặc cách không bị phát hiện. Vì lý do này, việc kiểm tra tab "Community" có thể mang lại lợi ích lớn.

<figure><img src="/files/yVz6kiNS6kuIuilPdTnh" alt=""><figcaption></figcaption></figure>

## Scanning URLs with VirusTotal

Bạn có thể phân tích địa chỉ URL cũng như phân tích tệp trong VirusTotal. Tất cả những gì bạn phải làm là truy vấn địa chỉ có liên quan từ phần URL.

<figure><img src="/files/RTXD1rWY5Gts3AbB59Gw" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/T5Aj2JDzukPXx4ZqWjFM" alt=""><figcaption></figcaption></figure>

## Searching for IOC

URL, IP address, domain, or file hash

<figure><img src="/files/XIqqhjjwoGt3JeV18MMg" alt=""><figcaption></figcaption></figure>

## Key Points to Pay Attention

VirusTotal thường được các Nhà phân tích SOC sử dụng trong ngày, dữ liệu do nền tảng cung cấp nhanh chóng giúp công việc của các nhà phân tích trở nên dễ dàng hơn nhiều. Nếu không cẩn thận trong một số vấn đề, dữ liệu thu được có thể gây ra kết quả phân tích không chính xác. Điều rất quan trọng là bạn phải đọc kỹ phần sau và tránh lỗi phổ biến này.

### **Old Analysis Results**

Khi bạn bắt đầu quét/tìm kiếm trên VirusTotal, các kết quả cũ, nếu có, sẽ được hiển thị để có kết quả nhanh hơn. Ví dụ: nếu bạn quét URL "letsdefend.io", bạn có thể thấy kết quả như kết quả bên dưới.

<figure><img src="/files/HV1cslVPo0QtZP9dn6Js" alt=""><figcaption></figcaption></figure>

Chúng ta cần lưu ý về thời gian quét, vì nếu không chú ý thì ta dẫn dễ bị kẻ tấn công lừa. Tất cả những gì cần làm là bắt đầu tạo một truy vấn với và xem kết quả phân tích nội dung hiện tại trong địa chỉ URL. Bằng cách click "**Reanalyse**" button, phân tích sẽ được thực hiện lại.

<figure><img src="/files/iEJ62ddWflGSZvFM3Hsr" alt=""><figcaption></figcaption></figure>

### **Detection Tags**

Một trong những điểm cần cân nhắc khi quyết định một tệp có độc hại hay không thông qua VirusTotal là cách các công ty AV gắn nhãn cho tệp đó.

Một tệp có thể có tỷ lệ phát hiện là 10/52 trên VirusTotal, nhưng khi kiểm tra các thẻ, bạn có thể thấy rằng nó thực sự không có hại. Ví dụ phổ biến nhất của tình huống này là các tập tin thiết lập. Trong các tệp cài đặt, đôi khi có thể có các quảng cáo xuất hiện trên màn hình cài đặt. Vì các công cụ AV thường hoạt động trên cơ sở dựa trên quy tắc nên chúng có thể đánh dấu các tệp có những quảng cáo này là "Phần mềm quảng cáo". Vì lý do này, bạn có thể thấy các loại tệp này có màu "đỏ" trên VirusTotal.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/techniques/virustotal-for-soc-analysts.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.