次世代方法
Adaptive 威脅分析
深度報導
威脅搜尋
靈活部署
整個惡意軟體分析管道的速度與精確度
在惡意軟體分析管道中加入多層的適應性威脅分析,以強化您的安全態勢,並更有效地回應不斷演進的威脅。
威脅情資
蒐集威脅情資- 信譽檢查
- 毫秒
- 根據已知的錯誤雜湊和白名單快速交叉檢查輸入資料。
深度靜態分析
- 靜態快速通過
- 最多幾秒鐘
- 在不到一秒的時間內進行初始靜態分析,繞過常見的混淆技術。
動態快速通過
- 平均 10 秒
- 在輕量級虛擬化層中使用模擬功能,以進行快速、適應性的威脅偵測。
MetaDefender Sandbox Engine
下表概述MetaDefender Sandbox 引擎功能集。請與我們聯絡,預約技術簡報並了解所有平台特性和功能。
全面的沙箱 報告
概述我們網路安全軟體的功能,包括樣本分析、惡意軟體族群解碼、分解解包、相似性搜尋等。
合成(製造)樣品
本範例是專為突顯 MetaDefender Sandbox(以前稱為OPSWAT Filescan 沙箱 )的多樣化功能。
展示真實世界的網路威脅,將多個檔案和檔案類型相互嵌入。這有效地展示了我們的解決方案在適應性威脅分析、行為分析和進階安全措施方面的能力。
地理圍欄
採用地理圍籬的惡意軟體檔案已成為網路安全的重大威脅。這些惡意檔案通常採用基於位置的觸發器,使得偵測和減緩成為一項極具挑戰性的任務。然而,適應性威脅分析 (Adaptive Threat Analysis) 藉由提供精確模擬與偽造預期地理位置值的能力,從而在傳統方法中脫穎而出,有效化解惡意軟體所採用的策略,進而提升我們防禦此類威脅的能力。
在下面提供的範例中,我們可以觀察到地理圍籬惡意軟體試圖只在特定國家執行。然而,如前所述,我們的創新解決方案透過模擬所需的地理位置值,成功繞過此限制,展現我們在對抗此類地理圍籬式威脅的優異能力。
網路釣魚偵測
透過渲染可疑的網站,並將它們交由我們先進的機器學習引擎處理,我們能夠識別出近 300 個品牌。在下面提供的範例中,您可以看到一個俄羅斯網站偽裝成 Steam 電腦遊戲公司。我們的解決方案可將網站內容與真正的 URL 進行比較,迅速識別此類詐騙企圖,以保障您的數位資產和個人資訊。
離線 URL 聲譽
離線 URL 偵測器 ML 模型透過有效偵測可疑 URL 提供了新的防禦層,為識別和減緩惡意連結所造成的威脅提供了強大的手段。它利用包含數十萬個 URL 的資料集,由知名廠商仔細標籤為無威脅或惡意,以評估透過機器學習技術準確偵測可疑 URL 的可行性。
值得注意的是,此功能在無法進行線上信譽查詢的空氣隔離環境中特別有用。
打包樣本的惡意軟體組態擷取
下面的樣本揭示了一個使用 UPX 包裝技術包裝的惡意軟體。儘管惡意軟體試圖躲避偵測和防禦,我們的分析仍成功地解開了有效載荷,揭露了其真正身份為 Dridex 木馬程式。我們能夠發現惡意軟體的組態,揭露此威脅背後的惡意意圖,並擷取有價值的 IOC。
相似性搜尋
利用相似性搜尋功能,沙箱偵測到一個與已知惡意軟體極為相似的檔案。值得注意的是,此檔案之前曾被標示為非惡意,這顯示出我們的安全評估可能會出現錯誤的負面結果。這項發現讓我們能夠特別針對這些被忽略的威脅進行修正。
必須強調的是,相似性搜尋對於威脅研究和獵殺非常有價值,因為它可以協助發現來自相同惡意軟體系列或活動的樣本,提供額外的 IOC 或特定威脅活動的相關資訊。
原生可執行檔
Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.
.NET 可執行檔
檢驗中的範例是使用 .NET framework 建立的。儘管我們不會顯示實際的 CIL,但我們的逆向編譯程序會擷取並顯示值得注意的資訊,包括字串、登錄工件和API 呼叫。
除此之外,我們還會解析 .NET 元資料,以辨識 .NET 特有的功能和資源。這個過程允許抽取有關程序集的詳細資訊,例如方法、類別和內嵌資源,這些資訊對於分析 .NET 應用程式的行為和結構至關重要。
高度混淆的 VBA 巨集
混淆的 VBA 巨集對於提供合理的主動威脅回應時間是一大挑戰。這種不清楚的程式碼使得分析和瞭解威脅成為一項高度複雜的任務,需要耗費大量的時間和心力。我們最先進的 VBA 模擬技術能夠克服這些挑戰,並在幾秒鐘內對混淆的 VBA 巨集進行全面分析,並清楚瞭解其功能。
所分析的樣本是一份 Excel 檔案,其中包含高度混淆的 VBA 程式碼,可丟放並執行 .NET DLL 檔案,以及負責繼續惡意軟體執行鏈的 LNK 檔案。在 VBA 模擬之後,MetaDefender Sandbox 識別出啟動的進程和主要的解混淆功能,自動擷取混淆字串並儲存掉落的檔案 (先前在 VBA 程式碼中硬編碼和加密)。這可迅速顯示惡意軟體的主要目的,並提供我們進一步分析此威脅的可能性。
沙箱 透過工作排程逃避
使用 Windows 任務排程在稍後的時間執行惡意有效載荷,是最近威脅中出現的迴避沙箱環境的隱匿技術。它利用執行延遲來有效繞過沙箱典型的短分析Windows。
以下範例是經過混淆的 VBScript,它會下載惡意的有效載荷,並建立排程任務在 67 分鐘後執行。傳統的沙箱只能維持執行幾分鐘,惡意行為就永遠不會暴露。另一方面,我們的 VBScript 模擬器能夠偵測並克服這種迴避技術 (T1497),調整執行環境以繼續進一步分析,並在 12 秒內取得完整報告。
.NET 反射
.NET反射是.NET框架提供的一項強大功能,它允許程式在執行時檢查和操作.NET檔案結構和行為。它可以檢查程式集、模組和類型,並能夠動態建立類型的實體、調用方法以及存取欄位和屬性。
惡意軟體可以使用反射動態載入並執行編譯時未引用的程式集代碼,從遠端伺服器(或隱藏在目前檔案中)取得額外的有效載荷,並在不寫入磁碟的情況下執行,降低偵測風險。
在這個案例中,我們可以看到所分析的 VBScript 如何直接從 Windows 暫存器中儲存的位元組,將 .NET 程序集載入並執行到記憶體中。
XOR 解密儲存在 PE 資源中的有效載荷
此功能可揭示 PE 資源中加密的隱藏藝術品。惡意的 artifact 經常被加密,以逃避偵測並隱藏樣本的真正意圖。揭露這些人工制品非常重要,因為它們通常包含關鍵資料 (如 C2 資訊) 或有效載荷。透過擷取它們,沙箱可以提供更深入的掃描,有更高的機會識別出最有價值的 IOC。
本範例使用 XOR 演算法儲存加密的人工智慧,簡單但有效率地躲避偵測。透過分析加密資料中的模式,可以猜測加密金鑰,從而解密隱藏的資料。
MetaDefender Sandbox 整合
| 安裝 | 電器 | |
|---|---|---|
| 整合 | API 與網頁介面整合 |
|
| 電子郵件整合與格式支援 |
| |
| 安全協調、自動化與回應 (SOAR) 整合 |
| |
| SIEM 整合 | 通用事件格式 (CEF) Syslog 反饋 | |
| 部署 | OPSWAT 威脅偵測與防禦平台 |
|
| 報告格式/資料匯出 | 報告格式 |
|
| 指令碼與自動化工具 | Python |
|
MetaDefender Core中的Adaptive 威脅分析
Adaptive Sandbox 可動態偵測複雜且易於躲避的惡意軟體威脅。它直接整合到MetaDefender Core 中,以增強大型安全工作流程中的協調和快速偵測功能。
沙箱-增強型解決方案
OPSWAT的MetaDefender Sandbox 為我們的網路安全平台增加了一層重要的威脅防護。
"OPSWAT的Sandbox 具有非常快速的判定,這要歸功於模擬功能,並與Deep CDR 等其他產品整合。因此可在掃描檔案時提供最佳的線上體驗,並將對使用者造成的干擾降至最低,同時允許簡易管理"。
