VT高级语法:
Network activity:behaviour_network:“202.117.170.240”
Network activity:behaviour_network:"/vpnchecker.php"
Filesystem operations:behaviour_files:“C:\\Users\\<\USER>\AppData\Local\Temp\pnw2vuyz.e5s.ps1”
Processes execution:behaviour_processes:“powershell.exe -ep bypass -File C:\Users\Johnson\AppData\Local\Temp\4.ps1”
不直接相关的恶意行为组合:behaviour_network:tinyurl.com and behaviour_processes:powershell
寻找可信签名但反病毒引擎检出率高的样本:signature:"© Microsoft Corporation. All rights reserved." tag:signed not (tag:invalid-signature or tag:revoked-cert) fs:2022-01-01+ p:5+
寻找带有特定cookie的url:entity:url cookie:“njnmsdkfsdfbiuonsdkfnsdfl”
对安卓包的搜索:androguard_package:org.xmlpush.v3
文件名:type:document name:“Standard Chartered” p:1+
URL:entity:url title:“JP Morgan” p:5+
email:type:email have:email_attachment tag:exploit
IOS野生恶意文件:(type:apple OR type:mac) have:in_the_wild p:5+
itw:cdn.discordapp.com p:5+
entity:分为file、url、ip、domain、collection
itw:指“In The Wild”,主要描述一种病毒活动状态,即该病毒已在互联网上广泛传播,并对日常的计算机运行产生实际影响。因此,当我们说一个病毒是"In The Wild" (缩写为ITW)的,这意味着它不仅仅是在实验室环境中的假设或可能性,而是在现实世界中已经存在并对用户和系统构成威胁了。
对特定组织进行查询:entity:collection(name:apt28 or tag:apt28 or name:Sofacy or tag:Sofacy)
p:5+表示至少被5个反病毒引擎监测到