- 400-086-1199 / 028-85329672
- support@westsnow.com.cn
本相-恶意文件检测系统(MFD)
从近几年的APT攻击事件可以看出,无论网络防御系统如何演进,由于社工精心伪造,攻击手段多,人为因素不可控的特点,恶意文件是黑客利用最为频繁的攻击手段之一,特别是OFFICE用户基数庞大,是我国政府办公人员最长用的软件,一旦病毒文件感染成功,容易迅速扩散。不仅给个人、企业带来巨大的个人隐私和金融风险。特别是境外APT组织针对我国关键机构重点人员进行的攻击,严重威胁着我国关键领域的网络安全和数据安全。
“水坑攻击”和“鱼叉攻击”两种最常见的恶意文件攻击手法,在APT组织发起的攻击中往往是针对目标人员进行社工信息收集,了解网络活动特点和工作特性,再利用受控网站和钓鱼邮件的方式对目标人员进行诱导,最终达到控制目标人员主机的目的。攻击者利用恶意文件攻击成功后,将目标主机作为跳板,对关键信息进行收集的同时会进行横向移动,攻击网络内其他电脑或关键设施,窃取机密数据,或者对重要网络设施进行长久的隐蔽渗透和破坏。
// product
产品简介
恶意文件检测分析系统是以反病毒引擎、YARA引擎、虚拟沙箱深度分析技术为基础,通过多种接口方式对接离线样本数据,实现对超过60种不同的文件类型的检测分析。除了传统的动静态检测,系统还进一步提取恶意文件运行过程中的网络行为、进程行为用于建模分析。并且,数默公司还将多年的APT对抗实战经验应用于本系统,将多年来积累的APT组织的恶意样本逆向转化为样本基因库,从而实现了APT样本同源性的自动化分析,进一步提升对样本所属组织、家族的自动化关联研判能力。
// functions
核心功能
多源数据接入
为了更便捷高效的接入样本数据,系统提供了本机上传、NAS接入、FTP接入、API接口等模式接入数据。用户可在数据接入环节预设文件检测配置策略,针对特定格式,大小,来源的文件进行数据过滤,提升文件检测效率。可根据检测任务设置数据权限。
高性能静态检测
系统内置多种反病毒检测引擎、YARA检测、MD5库实现在不运行文档的前提下,根据文件流信息对各种文件格式快速检测已知恶意文件,支持分析人员手动编写YARA规则、黑名单等数据,灵活的静态规则配置能有效提高安全专家的工作效率。
动态沙箱检测
系统利用虚拟化沙箱深度分析技术内置多种windows,Linux等多版本操作系统,能够满足不同格式文件的自动化动态检测,可以有效检测未知的恶意样本,帮助分析人员了解样本的执行过程和攻击意图。系统通过硬件模拟技术能够进一步提高动态检测能力。
可视化分析
系统提供可视化视图帮助用户直观了解恶意文件详细信息,恶意判定原因,关联家族,关联APT组织等信息,并利用图形化和数据列表两种方式综合展示进程行为,网络行为,释放文件等信息,便于用户理解和分析恶意文件的攻击意图和攻击过程。
数据关联分析
为了提高针对特定线索的分析效率,系统提供针对C&C地址,MD5,SHA1,SHA256,病毒名称,标签,IP地址等条件的快速查询功能,能够帮助分析人员快速找到特定样本,或者对符合相同特征行为的批量样本进行归类和分析。
样本同源性检测
系统通过提取每个样本的网络C&C地址、字符串特征、进程行为、释放文件、哈希、PDB文件路径等数据,利用同源性分析引擎对每批次恶意样本与历史APT事件的样本进行比对,自动研判同源性,有助于提高对特定APT组织的威胁研判效率。
// TOPOLOGY
系统部署
