A nem angol nyelvű oldalak fordításokhoz AI-t használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os az eredmény. Megértését nagyra értékeljük.
MetaDefender Aether

Gyors Zero-Day Észlelés

A MetaDefender Aether™ az OPSWAT egységes zero-day észlelési megoldása, amely ötvözi az Adaptive Sandbox technológiát, a Threat Intelligence-t, a fenyegetés pontozást, és a gépi tanuláson alapuló hasonlósági keresést. Fájlonként egyetlen, konszolidált ítéletet hoz a SOC, SIEM, SOAR és fenyegetésvadászati munkafolyamatok támogatására felhő-alapú, hibrid és air-gapped környezetben.

  • 99,9%-os Zero-Day ellen
  • 20-szor gyorsabb, mint a hagyományos eszközök
  • Több mint 25 000 elemzés naponta
0 0 0 0 0 0

Az OPSWAT megbízik

0
Ügyfelek világszerte
0
Technológiai partnerek
0
Endpoint tanúsítvány. Tagok

Egységes Zero-Day

Növelje a hatékonysági arányt 99,9%-ra egyetlen megoldással.

1. réteg: Fenyegetés-hírnév

Az ismert
fenyegetések gyors feltárása

Állítsa meg az ismert fenyegetések áradatát.

Valós időben vagy offline módban ellenőrzi az URL-eket, IP-címeket és domainnevet, hogy felismerje a rosszindulatú szoftvereket, adathalászokat és botneteket.

Blokkolja az újrahasznosított infrastruktúrát és az árucikk-malware-t, és arra kényszeríti a támadókat, hogy alapvető mutatókat használjanak.

2. réteg: Dinamikus elemzés

Fedezze fel az ismeretlen
fenyegetéseket

Felismeri a hagyományos sandboxok elől rejtőző malware-t.

Egy emulációalapú sandbox a fájlokat, hogy felismerje a rejtett fenyegetéseket, például a zsarolóvírusokat.

Felfedi a műtárgyakat, a betöltő láncokat, a szkript logikát és a kitérési taktikákat.

3. réteg: Fenyegetésértékelés

A fenyegetések fontossági sorrendje

Csökkentse a riasztások okozta fáradtságot.

A fenyegetések kockázati szintjeit rangsorolják, hogy valós időben gyorsan ki lehessen emelni a legfontosabb fenyegetéseket.

4. réteg: Fenyegetéskeresés

A rosszindulatú szoftverek azonosítása
-kampányok

Gép tanulásos hasonlóságkeresés

A fenyegetésminták korrelációja az ismeretlen fenyegetéseket összehasonlítja az ismert rosszindulatú programokkal, taktikákkal, infrastruktúrákkal és egyebekkel.

Felfedi a rosszindulatú programcsaládokat és kampányokat, arra kényszerítve a támadókat, hogy átalakítsák taktikájukat és infrastruktúrájukat.

Termék áttekintés

Tudja meg, hogyanAether MetaDefender Aether sandboxing mesterséges intelligencián alapuló adaptív sandboxing a hagyományos biztonsági eszközök által észrevétlenül hagyott zero-day sandboxing és megakadályozás sandboxing :
.

Egy megoldás a fájdalom teljes piramisára

Aether MetaDefender Aether a „Pyramid of Pain” teljes spektrumátAether , az 1. szintű általános mutatóktól egészen a 6. szintű fejlett TTP-megzavarásig, 
arra kényszerítve a támadókat, hogy folyamatosan átalakítsák infrastruktúrájukat, eszközeiket és viselkedésüket annak érdekében, hogy elkerüljék a felderítést.

Megsemmisíti a támadó árucikk-automatizálását az egyszerű műtárgyak érvénytelenítésével.
  • Piramis szintek 1, 2, 3

    Hash-ek, IP-címek, domainnevek (a piramis alsó 3 szintje)

    • Hash-keresések → újrahasznált rosszindulatú bináris fájlok felismerése
    • URL/domain/IP hírnév → blokkolja az ismert infrastruktúrát
    • Márkák, ML URL-osztályozás → blokkolja a phishing-infrastruktúrát
    • Offline és online hírnév → megakadályozza az árucikkekkel kapcsolatos fenyegetéseket
  • Hogyan gyakorol nyomást a támadókra?
    • Kényszeríti a támadókat az infrastruktúra rotálására
    • A újrahasznosított rosszindulatú programok jelzőit értéktelenné teszi
    • Megszakítja az automatizált adathalász és botnet-terjesztési munkafolyamatokat
Megszünteti a támadó TTP-rejtőzködését és felfedi operatív eszközeit.
  • Piramis 4. szint

    Műtárgyak + eszközök

    • A CPU-szintű emuláció feltárja a futási időbeli artefaktokat:
      • Viselkedési napló 
      • Rendszerleíró adatbázis szerkesztése 
      • Fájlok letöltése 
      • Folyamatbeavatkozások 
      • C2 visszahívások 
      • A betöltő viselkedése 
    • Csak memóriában tárolt hasznos teher kitettsége
    • Kicsomagolja a csomagolókat, a színpadra állítókat, a cseppentőket
  • Hogyan gyakorol nyomást a támadókra?
    • Kényszeríti a támadókat a hasznos terhelések újratervezésére
    • Felfedi a betöltő láncokat és a második szakasz artefaktjait
    • Megkerüli az elkerülést → a támadónak át kell írniasandbox
    • Felfedi azokat a műtárgyakat, amelyeket a hagyományos homokozók nem vesznek észre
A felismerést viselkedési szándékra emeli, arra kényszerítve a támadókat, hogy átírják a technikai szintű logikát.
  • Piramis 5. szint

    Eszközök + TTP-k

    • Felhasználási területek kontextus + viselkedés észlelni:
      • Rosszindulatú végrehajtási folyamat
      • Betöltő minták
      • Szkript-elrejtési aláírások
      • A rosszindulatú programok családjának viselkedése
      • Kitartási technikák
    • 900+ viselkedési mutató
    • MITRE ATT&CK taktika összehangolása
  • Hogyan gyakorol nyomást a támadókra?
    • A támadóknak most módosítaniuk kell eszközeik működését
    • Nem csak a hasznos teher, hanem a viselkedési minta is meg kell változzon.
    • A támadók számára drágább a pivotálás
Megszünteti a támadó TTP-rejtőzködését és felfedi operatív eszközeit.
A 4. réteg a fájdalom piramisának legmagasabb szintjét éri el, arra kényszerítve a támadókat, hogy teljes stratégiájukat átgondolják.
  • Piramis rétegek: TTP-k

    Legfelső szint – A legfájdalmasabb az ellenfelek számára – 6. szint a piramisban

    • ML-alapú hasonlóságkeresés korrelátumok:
      • Rosszindulatú programok családjai
      • Újrafordított változatok
      • Infrastruktúra-klaszterek
      • Polimorf mutációk
      • Megosztott kódszakaszok
    • Közös műveletekből származó különböző artefaktumok közötti hézagokat hidalja át
    • Viselkedés + kódhasonlóság → ismeretlen változatok felismerése
    • Kampány szintű csoportosítás
  • Hogyan fejti ki maximális nyomást?
    • A hackereknek teljesen meg kell változtatniuk taktikájukat, eszközeiket, infrastruktúrájukat ÉS viselkedésüket.
    • A kampányokat akkor is felismeri, ha a hasznos adatok változnak
    • Legfontosabb problémás pont: a támadóknak át kell írniuk az egész eszköztárukat
  • Fenyegetés hírneve
    1. réteg

    Megsemmisíti a támadó árucikk-automatizálását az egyszerű műtárgyak érvénytelenítésével.
    • Piramis szintek 1, 2, 3

      Hash-ek, IP-címek, domainnevek (a piramis alsó 3 szintje)

      • Hash-keresések → újrahasznált rosszindulatú bináris fájlok felismerése
      • URL/domain/IP hírnév → blokkolja az ismert infrastruktúrát
      • Márkák, ML URL-osztályozás → blokkolja a phishing-infrastruktúrát
      • Offline és online hírnév → megakadályozza az árucikkekkel kapcsolatos fenyegetéseket
    • Hogyan gyakorol nyomást a támadókra?
      • Kényszeríti a támadókat az infrastruktúra rotálására
      • A újrahasznosított rosszindulatú programok jelzőit értéktelenné teszi
      • Megszakítja az automatizált adathalász és botnet-terjesztési munkafolyamatokat
  • Dinamikus elemzés
    2. réteg

    Megszünteti a támadó TTP-rejtőzködését és felfedi operatív eszközeit.
    • Piramis 4. szint

      Műtárgyak + eszközök

      • A CPU-szintű emuláció feltárja a futási időbeli artefaktokat:
        • Viselkedési napló 
        • Rendszerleíró adatbázis szerkesztése 
        • Fájlok letöltése 
        • Folyamatbeavatkozások 
        • C2 visszahívások 
        • A betöltő viselkedése 
      • Csak memóriában tárolt hasznos teher kitettsége
      • Kicsomagolja a csomagolókat, a színpadra állítókat, a cseppentőket
    • Hogyan gyakorol nyomást a támadókra?
      • Kényszeríti a támadókat a hasznos terhelések újratervezésére
      • Felfedi a betöltő láncokat és a második szakasz artefaktjait
      • Megkerüli az elkerülést → a támadónak át kell írniasandbox
      • Felfedi azokat a műtárgyakat, amelyeket a hagyományos homokozók nem vesznek észre
  • Fenyegetés pontozás
    3. réteg

    A felismerést viselkedési szándékra emeli, arra kényszerítve a támadókat, hogy átírják a technikai szintű logikát.
    • Piramis 5. szint

      Eszközök + TTP-k

      • Felhasználási területek kontextus + viselkedés észlelni:
        • Rosszindulatú végrehajtási folyamat
        • Betöltő minták
        • Szkript-elrejtési aláírások
        • A rosszindulatú programok családjának viselkedése
        • Kitartási technikák
      • 900+ viselkedési mutató
      • MITRE ATT&CK taktika összehangolása
    • Hogyan gyakorol nyomást a támadókra?
      • A támadóknak most módosítaniuk kell eszközeik működését
      • Nem csak a hasznos teher, hanem a viselkedési minta is meg kell változzon.
      • A támadók számára drágább a pivotálás
  • Fenyegetésvadászat
    4. réteg

    Megszünteti a támadó TTP-rejtőzködését és felfedi operatív eszközeit.
    A 4. réteg a fájdalom piramisának legmagasabb szintjét éri el, arra kényszerítve a támadókat, hogy teljes stratégiájukat átgondolják.
    • Piramis rétegek: TTP-k

      Legfelső szint – A legfájdalmasabb az ellenfelek számára – 6. szint a piramisban

      • ML-alapú hasonlóságkeresés korrelátumok:
        • Rosszindulatú programok családjai
        • Újrafordított változatok
        • Infrastruktúra-klaszterek
        • Polimorf mutációk
        • Megosztott kódszakaszok
      • Közös műveletekből származó különböző artefaktumok közötti hézagokat hidalja át
      • Viselkedés + kódhasonlóság → ismeretlen változatok felismerése
      • Kampány szintű csoportosítás
    • Hogyan fejti ki maximális nyomást?
      • A hackereknek teljesen meg kell változtatniuk taktikájukat, eszközeiket, infrastruktúrájukat ÉS viselkedésüket.
      • A kampányokat akkor is felismeri, ha a hasznos adatok változnak
      • Legfontosabb problémás pont: a támadóknak át kell írniuk az egész eszköztárukat

AetherMetaDefender Aether hatása a „
” című, a MITRE ATT&CK keretrendszerhez kapcsolódó dokumentumra

  • Réteges láthatóság a teljes támadási láncban.
  • Végrehajtás előtti (statikus) és futásidejű (dinamikus elemzés) észlelés, a MITRE Tactics-hez rendelve.
  • +60% további felderítési lefedettség.

„A leggyorsabb sebesség, amit valaha teszteltünk a
-nál.”

Venak Biztonság

330+

Észlelhető márkák
ML-alapú
adathalász-észleléshez

50+
Fájltípusok

50+
-fájltípusok

Kivonat műtárgyak,
képek és egyebek

100x

Nagyobb hangerő

Könnyű integrálás

Megakadályozzuk, hogy a támadók a saját fájljaidat felhasználva támadjanak ellened (
).

20x

Gyorsabb, mint a hagyományos megoldások

A MetaDefender Aether

Az alábbi táblázat bemutatja a MetaDefender Aether legfontosabb funkcióit.
Ha szeretné megtudni, hogy ezek a funkciók hogyan működnek együtt a gyakorlati alkalmazások során, vegye fel velünk a kapcsolatot, hogy időpontot egyeztessünk egy technikai bemutatóra.

MetaDefender ésAether közöttiAether

VégrehajtásKészülék
IntegrációAPI & Webes interfész integráció
  • REST API (OpenAPI dokumentálva)
  • Fájl- és URL-beadás GUI-n keresztül
  • Fenyegetésvadászat és hírnévkeresés
Email integrációk és formátumtámogatás
  • Automatikus adatbevitel (IMAP)
  • MBOX, MSG fájl támogatás
Biztonsági archiválás, automatizálás és reagálás (SOAR) integrációk
  • Palo Alto Cortex XSOAR
  • Splunk SOAR
  • AssemblyLine 4
SIEM integrációk Közös eseményformátum (CEF) Syslog visszajelzés
TelepítésOPSWAT Fenyegetés-felderítési és megelőzési platform
  • MetaDefender Core
  • MetaDefender Cloud
  • MetaDefender ICAP Server
  • MetaDefender Storage Security
  • MetaDefender Kiosk
  • Metascan
Jelentésformátum/ adatexportJelentésformátumok
  • MISP
  • STIX 2.1
  • HTML, PDF, JSON
Szkriptelés és automatizálási eszközökPython
  • Python CLI
  • Pip csomagkezelés

MetaDefender Aether

Kiberbiztonsági szoftverünk képességeinek áttekintése, beleértve a mintaelemzést, a rosszindulatú szoftvercsaládok dekódolását, a szétszerelés kicsomagolását, a hasonlóságkeresést és egyebeket.

MetaDefender Aether

Szintetikus (gyártott) minta

Ez a minta kifejezetten arra szolgál, hogy bemutassa a MetaDefender Aether (korábban OPSWAT Filescan Sandbox) sokoldalú képességeit.

A valós kiberfenyegetések bemutatására készült, több fájlt és fájltípust egymásba ágyazva. Ez hatékonyan demonstrálja megoldásunk képességeit az adaptív fenyegetéselemzés, a viselkedéselemzés és a fejlett biztonsági intézkedések terén.

MetaDefender Aether

Geofencing

A geofencinget alkalmazó malware dokumentumok jelentős fenyegetést jelentenek a kiberbiztonságra nézve. Ezek a rosszindulatú fájlok gyakran használnak helyalapú kiváltó okokat, ami kihívást jelent a felderítésben és a kárenyhítésben. Az Adaptive fenyegetéselemzés azonban azzal emelkedik ki a hagyományos megközelítések közül, hogy képes pontosan utánozni és meghamisítani az elvárt geolokációs értékeket, így hatékonyan semlegesíti a rosszindulatú programok által alkalmazott taktikákat, és ezáltal javítja az ilyen fenyegetések elleni védekezési képességünket.

Az alábbi mintában megfigyelhetjük, hogy egy geofencing malware kizárólag egy adott országon belül próbál futtatni. Innovatív megoldásunk azonban sikeresen megkerüli ezt a korlátozást, ahogyan azt korábban említettük, a kívánt geolokációs értékek emulálásával, ami bizonyítja az ilyen geofencing-alapú fenyegetések elleni kiváló képességünket.

MetaDefender Aether

Adathalászat észlelése

  • Márkaérzékelés: A gyanús webhelyek renderelésével és a fejlett gépi tanulási motorunkkal való vizsgálatával közel 300 márkát tudunk azonosítani. Az alábbi példában egy Netflix néven ismert streaming cégnek álcázott weboldal tanúja lehet. Megoldásunk kiválóan összehasonlítja a webhely tartalmát a valódi URL-címmel, és gyorsan azonosítja az ilyen csalárd próbálkozásokat, hogy megvédje digitális eszközeit és személyes adatait. Tudjon meg többet.
  • Mesterséges intelligencia által vezérelt elemzés: A mesterséges intelligencia által vezérelt megoldásunk elemzi a hálózati forgalmat, a megjelenített oldal szerkezeti és szöveges tartalmát. A közös modell eredményének megítélése az 'ML Web Threat Model' után látható.
MetaDefender Aether

Offline URL hírnév

Az offline URL-érzékelő ML-modell új védelmi réteget biztosít a gyanús URL-ek hatékony felderítésével, és megbízható eszközt kínál a rosszindulatú linkek által jelentett fenyegetések azonosítására és mérséklésére. Egy több százezer URL-t tartalmazó adathalmazt használ fel, amelyet neves gyártók gondosan megjelöltek, mint veszélytelen vagy rosszindulatú, hogy felmérje a gyanús URL-ek gépi tanulási technikák segítségével történő pontos észlelésének megvalósíthatóságát.

Fontos megjegyezni, hogy ez a funkció különösen hasznos olyan, air-gapped , ahol az online hírnév-lekérdezések nem állnak rendelkezésre.

MetaDefender Aether

Rosszindulatú szoftver konfigurációjának kivonása egy csomagolt mintából

Az alábbi minta egy olyan kártevőt mutat, amelyet az UPX csomagolási technikával csomagoltak. Annak ellenére, hogy megpróbálta elkerülni a felismerést és a védelmet, elemzésünk sikeresen kicsomagolta a hasznos terhet, felfedve annak valódi identitását, mint Dridex trójai. Sikerült feltárnunk a kártevő konfigurációját, fényt derítve a fenyegetés mögött álló rosszindulatú szándékra, értékes IOC-ket kinyerve.

MetaDefender Aether

Hasonlósági keresés

A hasonlóságalapú keresés funkciójának segítségével sandbox egy olyan fájlt sandbox , amely rendkívül hasonlít egy ismert kártevőhöz. Érdemes megjegyezni, hogy ezt a fájlt korábban nem kártevőként jelölték meg, ami rámutat a biztonsági értékeléseinkben előforduló téves negatív eredmények lehetőségére. Ez a felfedezés lehetővé teszi számunkra, hogy kifejezetten ezeket a figyelmen kívül hagyott fenyegetéseket célozzuk meg és orvosoljuk.

Fontos kiemelni, hogy a hasonlósági keresés rendkívül értékes a fenyegetéskutatás és -vadászat szempontjából, mivel segíthet feltárni az azonos rosszindulatú szoftvercsaládból vagy kampányból származó mintákat, további IOC-ket vagy releváns információkat szolgáltatva az egyes fenyegető tevékenységekkel kapcsolatban.

MetaDefender Aether

Natív futtatható

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

MetaDefender Aether

.NET végrehajtható

A vizsgált minta a .NET keretrendszer segítségével készült. Bár tartózkodunk a tényleges CIL megjelenítésétől, a dekompilációs folyamatunk kivonja és bemutatja a figyelemre méltó információkat, beleértve a karakterláncokat, a registry artifactokat és a API hívásokat.

Emellett elemezzük a .NET metaadatokat, hogy azonosítsuk a .NET-specifikus funkciókat és erőforrásokat. Ez a folyamat lehetővé teszi a részletes információk kinyerését az összeállításról, például a metódusokról, osztályokról és beágyazott erőforrásokról, ami kritikus fontosságú a .NET-alkalmazások viselkedésének és szerkezetének elemzéséhez.

MetaDefender Aether

Shellcode emuláció

Sok alkalmazás kihasználása nyers bináris formátumban (shellcode) hozza a végső hasznos terhet, ami akadályt jelenthet a hasznos teher elemzésekor. Shellcode-emulációnkkal képesek vagyunk felfedezni és elemezni a végső hasznos teher viselkedését, ebben a példában egy széles körben kihasznált Office sebezhetőséget az egyenletszerkesztőben. Így megnyílik az út a megfelelő IOC-k összegyűjtéséhez.

MetaDefender Aether

Erősen homályos VBA makró

A homályos VBA-makrók jelentős kihívást jelentenek az aktív fenyegetések ésszerű válaszidejének biztosítása szempontjából. Ez a nem egyértelmű kód a fenyegetések elemzését és megértését rendkívül összetett, sok időt és erőfeszítést igénylő feladattá teszi. Korszerű VBA-emulációs technológiánk képes legyőzni ezeket a kihívásokat, és másodpercek alatt átfogó elemzést nyújt az obfuszkált VBA-makróról, valamint egyértelmű betekintést nyújt annak működésébe.

Az elemzett minta egy Excel-dokumentum, amely erősen elrejtett VBA-kódot tartalmaz, amely letölt és futtat egy .NET DLL-fájlt, valamint egy LNK-fájlt, amelynek feladata a kártevő végrehajtási láncának folytatására szolgál. A VBA-emulációt követően MetaDefender Aether az elindított folyamatokat és a fő dekódoló függvényt, automatikusan kivonja a rejtett karakterláncokat, és elmenti a letöltött fájlokat (amelyeket korábban a VBA-kódba keménykódoltak és titkosítottak). Ez gyorsan feltárja a kártevő fő célját, és lehetőséget ad számunkra a fenyegetés további elemzésére.

MetaDefender Aether

Sandbox Kijátszás a Feladatütemező segítségével

A Windows Feladatütemezőjének felhasználása rosszindulatú kódok későbbi végrehajtására egy olyan rejtett technika, amelyet a legújabb fenyegetésekben is megfigyeltek sandbox kijátszására. Ez a technika kihasználja a végrehajtás késleltetését, hogy hatékonyan megkerülje a sandboxokra jellemző rövid elemzési időtartamot.

A következő minta egy elkendőzött VBScript, amely letölti a rosszindulatú hasznos terhet, és létrehoz egy ütemezett feladatot, hogy 67 perccel később futtassa azt. A hagyományos sandboxok csak néhány percig tartják fenn a végrehajtást, és a rosszindulatú viselkedés soha nem kerülne nyilvánosságra. Ezzel szemben a mi VBScript emulátorunk képes felismerni és legyőzni ezt a kijátszási technikát (T1497), a végrehajtási környezetet a további elemzés folytatásához igazítja, és 12 másodperc alatt megkapja a teljes jelentést.

MetaDefender Aether

.NET reflexió

A NET Reflection a .NET keretrendszer által biztosított hatékony funkció, amely lehetővé teszi a programok számára, hogy futás közben megvizsgálják és manipulálják a .NET fájlszerkezetet és viselkedést. Lehetővé teszi az összeállítások, modulok és típusok vizsgálatát, valamint a típusok példányainak dinamikus létrehozását, a metódusok meghívását, illetve a mezők és tulajdonságok elérését.

A rosszindulatú programok a tükrözést használhatják a fordításkor nem hivatkozott összeállításokból származó kód dinamikus betöltésére és végrehajtására, lehetővé téve további hasznos terhek távoli szerverekről történő (vagy az aktuális fájlban elrejtett) lekérését és végrehajtását anélkül, hogy a lemezre írnák őket, csökkentve ezzel a felismerés kockázatát.

Ebben az esetben láthatjuk, hogy az elemzett VBScript hogyan tölt be és futtat egy .NET-összeállítást a memóriába közvetlenül egy Windows-regiszterben tárolt bájtokból.

MetaDefender Aether

A PE-erőforrásban tárolt hasznos teher XOR-dekódolása

Ez a funkció lehetővé teszi a PE-erőforrásokba titkosított rejtett elemek feltárását. A rosszindulatú elemeket gyakran titkosítják, hogy elkerüljék a felderítést, és elrejtse a minta valódi célját. Ezen elemek feltárása elengedhetetlen, mivel általában kritikus adatokat (például C2-információkat) vagy hasznos terheket tartalmaznak. Ezek kinyerésével a sandbox mélyebb vizsgálatot sandbox végrehajtani, ami növeli a legértékesebb IOC-k azonosításának esélyét.

Ez a minta tárolja a titkosított műtárgyakat az XOR algoritmus segítségével, amely egyszerű, de hatékony a felderítés elkerülésére. A titkosított adatokban található minták elemzésével a titkosítási kulcs kitalálható, így a rejtett adatok visszafejtése lehetséges.

MetaDefender Aether

Kitérő archívum koncentráció

A támadók az archívumok összekapcsolását használják a rosszindulatú programok elrejtésére, több archívum egyetlen fájlba történő csatolásával, kihasználva, hogy a különböző eszközök hogyan dolgozzák fel azokat. Ez a technika több központi könyvtárat hoz létre - az archívumkezelők által használt kulcsfontosságú szerkezeti elemeket -, ami eltéréseket okoz a kivonatolás során, és lehetővé teszi az archívum figyelmen kívül hagyott részeiben elrejtett rosszindulatú tartalmak észlelésének megkerülését.

MD Sandbox felismeri és kibontja az összes összefűzött archívum tartalmát, így biztosítva, hogy egyetlen fájl se maradjon ki, és hatékonyan semlegesítve ezt a kijátszási technikát.

MetaDefender Aether

Bloated Executables mérséklése

A fenyegető szereplők a szándékosan futtatható fájlokat felduzzasztják szemét adatokkal, hogy az erőforrás- és elemzési időkorlátokat kihasználva elkerüljék a felderítést a homokozókban. Ez a kikerülési technika az időhatárok túllépésével igyekszik túlterhelni az eszközöket vagy megkerülni a vizsgálatokat.

sandbox MD sandbox korai szakaszban sandbox a feleslegesen megnövelt végrehajtható fájlokat, eltávolítja a felesleges adatokat, és a hatékony elemzés érdekében a kisebb méretű fájlt dolgozza fel. Ez a méretcsökkentési folyamat számos módszert céloz meg, beleértve az átfedésekben, a PE-szakaszokban és a tanúsítványokban található felesleges adatokat, így biztosítva a pontos felismerést az eredeti erőforrások megőrzése mellett.

MetaDefender Aether

A létfontosságú infrastruktúrákat célzó dokumentum

Ez az Office-dokumentum Irán kritikus infrastruktúráit veszi célba (perzsa nyelvű tartalommal), hogy érzékeny információkat, például hitelesítő adatokat és dokumentumokat lopjon el, és rendszeresen képernyőképeket készít, potenciálisan kémkedési céllal.

A perzisztencia megteremtése után egy lopakodó kezdeti internetkapcsolat-ellenőrzést hajt végre (egy megbízható domain, például a google.com ellenében) a megbízható kapcsolat biztosítása érdekében, és a további műveleteket addig késlelteti, amíg a hálózati feltételek lehetővé nem teszik a támadás folytatását. Ez a taktika gyakran megfigyelhető a kritikus infrastruktúrák elleni támadásokban, olyan környezetekben, ahol az internet-hozzáférés időszakos vagy korlátozott lehet.

MetaDefender Aether

Kikerülés a sérült OOXML (Office) dokumentumokon keresztül

A kutatók szándékosan megrongált OOXML dokumentumokat (modern irodai dokumentumok) fedeztek fel. A belső fájlcímek közelében lévő bináris tartalom módosításával a szándékosan megrongált fájlokat az automatikus keresők, amelyek megpróbálják kinyerni a tömörített fájlokat, tévesen ZIP-fájlokként ismerhetik fel.

A dokumentumnéző programok megnyitáskor automatikusan javítják a dokumentumot. Ekkor a dokumentum annak ellenére, hogy adathalász tartalmakat tartalmaz, hatékonyan megkerülheti a védelmet. Az automatizált elemzés nem lesz képes elolvasni a tartalmát, és ezért nem veszi észre a releváns mutatókat.

MetaDefender Aether

Google DKIM visszajátszási támadás észlelése

Az olyan e-mail-hitelesítési mechanizmusok, mint az SPF, a DKIM és a DMARC, elengedhetetlenek, de a kifinomult támadók néha képesek megkerülni őket. Ez a példa egy olyan esetet mutat be, amikor egy e-mailt – annak ellenére, hogy a Google hitelesen aláírta, és a szokásos ellenőrzéseken is átment – MetaDefender Aether rosszindulatúnak azonosított.

MetaDefender Aether számos rendellenességetAether , valamint egyéb jelzőket is:

  • DKIM határok megsértése: A DKIM aláírás hatókörén kívül hozzáadott azonosított tartalom.
  • Elhomályosítási technikák: Felismerte a túlzott üres szóközöket, amelyeket rosszindulatú szándék elrejtésére használtak.
  • Adathalász minták: Az adathalászkísérletekre jellemző sürgős cselekvésre való felhívások felismerése.
  • Fejlécelemzés: Az OAuth-alkalmazással való visszaéléssel kapcsolatos rendellenességek megjelölése az e-mail fejlécekben.
MetaDefender Aether

ClickFix, egy trendi Social Engineering technika

A ClickFix egy újonnan megjelenő webes fenyegetés, amely a social engineeringet kihasználva csendben ráveszi a felhasználókat, hogy rosszindulatú parancsokat hajtsanak végre. A hagyományos adathalászattal ellentétben a ClickFix nem fájlletöltéssel vagy hitelesítő adatok ellopásával, hanem megtévesztő UX elemekkel és a vágólap manipulálásával működik.

A ClickFix weboldal egy hamis reCAPTCHA vagy "botvédelmi" képernyővel jelenik meg, hogy legitimnek tűnjön. A felhasználót ezután arra kérik, hogy igazolja magát - gyakran egy ártalmatlannak tűnő interakcióval -, miközben a háttérben csendben fut egy homályos JavaScript kód. Ez a szkript dinamikusan dekódolja a rosszindulatú parancsot, és közvetlenül a rendszer vágólapjára másolja. Ezután a felhasználó félrevezető utasításokat kap és útmutatást a rosszindulatú parancs végrehajtásához, a veszélyről nem is tudva.

A ClickFix rávilágít arra, hogy az egyszerű webes technikák – a felhasználók megtévesztésével párosulva – hogyan képesek hatékonyan kijátszani a hagyományos biztonsági rétegeket, ami miatt sandbox elengedhetetlen az ilyen rejtett, alacsony lábnyomú támadások felderítéséhez.

MetaDefender Aether végpontok közöttiAether ezt a fenyegetést. A sandbox betölti a rosszindulatú URL-t, majd adathalász-felismerő modelleket alkalmaz a gyanús tartalom azonosítására. Ezután kivonja és emulálja a JavaScript-kódot, szimulálva a felhasználói műveleteket, hogy eljusson ahhoz a kritikus pillanathoz, amikor a vágólap tartalma módosul. Miután a rejtett parancsot rögzítette, azt emulálja, így a sandbox teljes mértékben sandbox a rosszindulatú végrehajtási folyamatot. Ez nemcsak a vágólapra épülő taktikát tárja fel, hanem a hasznos teher viselkedését és a fertőzési láncot is feltárja.

MetaDefender Aether

Supply Chain támadás

A SolarWinds ellátási láncát ért támadás jól példázza, hogy a megbízható szoftverekben végrehajtott minimális kódváltoztatások hogyan tesznek lehetővé masszív betöréseket a hagyományos biztonsági védelem megkerülésével. A fenyegető szereplők lopakodó hátsó ajtót építettek be egy legitim DLL-be, rosszindulatú logikát ágyazva be, miközben megőrizték az eredeti funkcionalitást. A hasznos teher csendben futott egy párhuzamos szálban, amely legitim komponenseket utánzott. Érvényes digitális aláírással és zökkenőmentes viselkedéssel a DLL elkerülte az észlelést, és titkos hozzáférést biztosított több ezer nagynevű áldozat számára. A build pipeline kompromittálása a megbízható frissítéseket globális behatolás eszközévé tette.

Bár egy 4 000 soros hátsóajtó jelentősnek tűnhet, egy nagyvállalati forráskód kontextusában könnyen elkerülheti a figyelmet. Éppen ebbenAether MetaDefender Aether : nem csupán a kódot vizsgálja, hanem figyelemmel kíséri a szoftver működését is. Jelzi a normál viselkedéstől való eltéréseket, és így az elemzők figyelmét a valóban fontos dolgokra irányítja – kiszűri a felesleges információkat, hogy rávilágítson azokra a fenyegetésekre, amelyeket a hagyományos ellenőrzések valószínűleg figyelmen kívül hagynának.

Detonator – A végtelen küldetés: „
” Zero-Day felderítésére

OPSWATiparágvezető dinamikus elemzési technológiájának háttere

A világ létfontosságú értékeinek megbízható védelme

OPSWAT világszerte több mint 1900 szervezet OPSWAT kritikus adatainak, eszközeinek és hálózatainak védelmével az
eszközök és fájlok által terjesztett fenyegetésekkel szemben.

A VÁLLALAT

Egy állami hatóság felel a kritikus rendszerek, a közszolgáltatások és az állampolgárok adatainak védelméért mind a polgári, mind a biztonsági környezetben.

A TÖRTÉNET

Az ügynökség korábban a rosszindulatú programok sandbox hagyományos sandbox használt. Az idő múlásával a vizsgálatok lelassultak, és csökkent a bizalom zero-day iránt. A probléma megoldása érdekében az ügynökség bevezetteAether MetaDefender Aether. Ez az átállás sandboxing egy önálló jelentéskészítő sandboxing egységes zero-day folyamatgá alakította át. Az ügynökség így mélyebb betekintést nyert a viselkedésmintákba, strukturált hírszerzési információkhoz jutott, valamint gyorsabb, hírszerzési szintű értékeléseket kapott, amelyeket egyértelműbb bizonyítékok támasztanak alá.

A VÁLLALAT

Ez a regionális kormányzati ügynökség törvényszéki tudományos szolgáltatásokat nyújt, többek között digitális bizonyítékok elemzését, több joghatóság területén működő bűnüldöző szervek számára. Számos törvényszéki laboratóriumot felügyel, és a büntetőeljárások során benyújtott elektronikus eszközök és digitális fájlok vizsgálatával támogatja a bűnügyi nyomozásokat.

A TÖRTÉNET

OPSWAT MetaDefender Aether Core OPSWATkihasználásával az ügynökség többrétegű biztonsági stratégiát vezetett be, amely kiküszöbölte a rosszindulatú szoftverekkel kapcsolatos kockázatokat, védelmet biztosított a nyomozási eszközöknek, és felgyorsította a digitális bizonyítékok elemzését.

FELHASZNÁLT TERMÉKEK:

A VÁLLALAT

Ez a nagy európai pénzintézet alapvető banki és pénzügyi szolgáltatásokat nyújt vállalkozásoknak és magánszemélyeknek világszerte. Több ezer alkalmazottal és erős globális jelenléttel rendelkezik, és döntő szerepet játszik a régió gazdasági stabilitásában. Működésének érzékeny jellegére való tekintettel az intézmény szigorú kiberbiztonsági intézkedéseket alkalmaz a tranzakciók, az ügyféladatok és a kritikus fájlátvitelek védelme érdekében.

A TÖRTÉNET

A jelzett fájlok egyre növekvő mennyiségének feldolgozása érdekében az intézmény bevezette OPSWAT MetaDefender Aether Core megoldását, amely gyors, alapos viselkedéselemzést és a potenciálisan rosszindulatú fájlok hatékonyabb osztályozását tette lehetővé.

FELHASZNÁLT TERMÉKEK:

A VÁLLALAT

Több mint 100 éve a Clalit az orvosi ellátás és az egészségügyi innovációk élvonalában áll Izraelben. Jelenleg az ország legnagyobb állami és magán egészségügyi szolgáltatója (és a világ második legnagyobb HMO-ja).

A TÖRTÉNET

A Clalit példaként szolgál arra, hogyan lehet teljes körű védelmet biztosítani a kritikus infrastruktúrához, azáltal, hogy létrehozott egy vállalati fájlbiztonsági szolgáltatást, amely 14 MetaDefender használ Multiscanning Deep CDR™ technológiával, valamint négy Adaptive és MetaDefender ICAP .

A VÁLLALAT

A felhőalapú biztonsági megoldások vezető globális szállítójaként ez az amerikai székhelyű vállalat számos e-mailes és webes fenyegetés ellen védi a szervezeteket. Innovatív biztonsági termékeikről híresek, és több régióban és iparágban is ügyfeleket szolgálnak ki, biztosítva az adatok és a kommunikáció biztonságát.

A TÖRTÉNET

A gyorsabb és költséghatékonyabb kártevőelemzés iránti növekvő igény kielégítése érdekében a biztonsági szolgáltatónak optimalizálnia kellett az e-mail- és webes biztonsági feldolgozási folyamatát. A sikeres koncepcióbizonyítás után MetaDefender Aether Core az üzemeltetési költségeket és a erőforrás-igényes, elavult technológiára való támaszkodást. Az AWS-ben zökkenőmentesen üzembe helyezett rendszer OPSWATszakértelmének támogatásával biztosította az agilis és hatékony működést nagy fájlforgalom mellett is.

FELHASZNÁLT TERMÉKEK:

A VÁLLALAT

Ügyfelünk egy Észak-Amerikában működő, globális lefedettségű multinacionális pénzügyi szolgáltató intézmény, amely lakossági banki szolgáltatások, vállalati hitelezés és digitális pénzügyi szolgáltatások révén több millió ügyfelet szolgál ki.

A TÖRTÉNET

A sandboxing hagyományos sandboxing miatt a fenyegetéselemzés a folyamat későbbi szakaszára maradt, ahol az eredmények később érkeztek meg; így a felismerést kijátszó rosszindulatú programoknak több esélyük volt átsiklani a védelmen, és a SOC kapacitása is túlterhelt volt. Az intézménynek a dinamikus elemzést az e-mailek és a fájlok beérkezési pontjaira kellett áthelyeznie, hogy a méretarány és az automatizálás feláldozása nélkül korábban felismerhesse az ismeretlen rosszindulatú programokat. MetaDefender Aether bevezetéseAether megszüntette a SOC-ban jelentkező szűk keresztmetszeteket, csökkentette az incidenskezelési munkaterhelést, és helyreállította a hatékonyságot az észlelési munkafolyamatok egészében.

FileScan.io közösség

Fedezze fel a rejtett fenyegetéseket az
által nyújtott, mélyreható kártevőelemzéssel, amely OPSWAT MetaDefender Aether

technológiájára épül – próbálja ki ingyen!

A szabályozási követelményeknek való megfelelés támogatása

A kibertámadások és azok végrehajtói egyre kifinomultabbá válnak, ezért a világszerte működő irányító testületek
szabályozásokat vezetnek be annak biztosítására, hogy a kritikus infrastruktúra megtegyen minden szükséges lépést a biztonság fenntartása érdekében.

Kezdje el 3 egyszerű lépésben

1

Kapcsolat szakértőinkkel

1

Kapcsolat szakértőinkkel

Töltse ki az űrlapot, és egy OPSWAT 24 órán belül felveszi Önnel a kapcsolatot. Együtt áttekintjük a zero-day stratégiáját, és meghatározzuk, hogyanAether MetaDefender Aether a SOC-jába vagy hibrid környezetébe.

2

Zökkenőmentes integráció

2

Zökkenőmentes integráció

Aether MetaDefender Aether önállóAether telepítheti, vagy REST API-kon és SOAR/SIEM-integrációkon keresztül csatlakoztathatja. A rugalmas telepítési lehetőségeknek és az emulációra alkalmas architektúrának köszönhetően a beállítás gyorsan elvégezhető, és OPSWAT teljes körű támogatást nyújtanak hozzá.

3

Észlelje, amit mások nem vesznek észre

3

Észlelje, amit mások nem vesznek észre

MetaDefender Aether négyrétegű fenyegetés-felismerési rendszerén – a fenyegetések hírnevének elemzése, emuláció, prioritás-megállapítás és korreláció – keresztülAether elemzi a fájlokat, hogy feltárja zero-day rejtett zero-day , és gazdag, cselekvésre alkalmas információkat nyújtson a biztonsági rendszer egészében.

  • Kapcsolat szakértőinkkel

    Töltse ki az űrlapot, és egy OPSWAT 24 órán belül felveszi Önnel a kapcsolatot. Együtt áttekintjük a zero-day stratégiáját, és meghatározzuk, hogyanAether MetaDefender Aether a SOC-jába vagy hibrid környezetébe.

  • Zökkenőmentes integráció

    Aether MetaDefender Aether önállóAether telepítheti, vagy REST API-kon és SOAR/SIEM-integrációkon keresztül csatlakoztathatja. A rugalmas telepítési lehetőségeknek és az emulációra alkalmas architektúrának köszönhetően a beállítás gyorsan elvégezhető, és OPSWAT teljes körű támogatást nyújtanak hozzá.

  • Észlelje, amit mások nem vesznek észre

    MetaDefender Aether négyrétegű fenyegetés-felismerési rendszerén – a fenyegetések hírnevének elemzése, emuláció, prioritás-megállapítás és korreláció – keresztülAether elemzi a fájlokat, hogy feltárja zero-day rejtett zero-day , és gazdag, cselekvésre alkalmas információkat nyújtson a biztonsági rendszer egészében.

GYIK

Aether egységes zero-day megoldásAether – emulációs sandboxing fenyegetési hírnév + gépi tanuláson alapuló hasonlósági keresés + átfogó Threat Intelligence elemeit egyetlen, elemzők számára könnyen kezelhetőAPI keresztül Aether .

CPU-szintű emulációt (nem ujjlenyomat-felismerhető virtuális gépeket) használ, hogy a rosszindulatú szoftverek kénytelenek legyenek végrehajtani valódi logikájukat, kicsomagolni a csak memóriában tárolt hasznos adatokat, és felfedni a kitérő manővereket (alvó ciklusok, geofencing, .NET betöltők, steganográfia) nagy sebességgel és méretben.

Aether ugyanazon az emulációalapú sandboxing Aether , amelyet az Adaptive Sandbox is használ, de kiterjeszti azt intelligens korrelációval, automatizált adatgazdagítással és fenyegetéskereséssel.  

  •  Sandbox = elemzőmotor.  
  •  Aether egy teljes körű, a motorra épülő Zero-Day megoldás. 

Aether teljes virtuális gépek helyett CPU-szintű emulációt Aether . Ez azt jelenti, hogy az elemzések percek helyett másodpercek alatt lezajlanak, nagyobb átviteli sebességet, erősebb csalásellenállást és a telepítések közötti könnyebb skálázhatóságot biztosítva.

Egyértelmű ítélet + fenyegetési pontszám, élő viselkedés és MITRE-térkép, kicsomagolt hasznos adatok/konfigurációk, hálózati/C2-indikátorok és exportálható IOC-k (MISP/STIX), amelyek készen állnak a blokkolásra és a vadászatra, valamint ML-hasonlóság a kapcsolódó kampányok csoportosításához.

Telepítheti helyben (akár teljesen air-gapped), a felhőben, vagy API keresztül is használhatja. Az üzemeltetése egyszerű: az észlelési frissítések folyamatosan érkeznek, és integrálható az SSO-val (SAML 2.0) valamint a jegyrendszerével/SOAR-jával.

Válasszon ki egy tesztfolyamatot egy valós munkafolyamatból (pl. e-mail-mellékletek vagy beérkező MFT ), és 2–4 Aether irányítsa át a gyanús forgalmat Aether ; mérje meg az új észlelések számát, a triázsra fordított idő megtakarítását és az IOC-hozamot, hogy alátámassza a befektetés megtérülését.

Legyen egy lépéssel Zero-Day előtt

Töltse ki az űrlapot, és 1 munkanapon belül felvesszük Önnel a kapcsolatot.
Világszerte több mint 2100 vállalkozás bízik bennünk.