Ramsdata

logo.png

Verificação de ficheiros

Rápido. Em pormenor.

O FileScan.IO é uma Sandbox de última geração e um serviço gratuito de análise de malware. Funciona a uma velocidade 10 vezes superior à das sandboxes tradicionais, com um consumo de recursos 90% inferior, e a sua tecnologia exclusiva de análise de ameaças adaptativa permite também a deteção de malware de dia zero e mais extracções de Indicadores de Compromisso (IOCs).

Riscos em constante mudança

Estamos numa corrida às armas tecnológicas, uma vez que os agentes das ameaças estão constantemente a aperfeiçoar as suas técnicas e a criar malware cada vez mais sofisticado para escapar às soluções de segurança.

Isto significa que os sistemas de análise de malware devem ser capazes de analisar eficazmente estas ameaças, independentemente das medidas evasivas utilizadas e do nível de sofisticação.

Esta análise deve permitir que sejam tomadas medidas para extrair Indicadores de Compromisso (IOC) incorporados, a fim de aplicar medidas de bloqueio preventivas, deteção de violações e caça proactiva de ameaças num cenário pós-violação.

Uma forte ofuscação e encriptação no malware significa que apenas a execução real do malware (normalmente num ambiente isolado, também conhecido como análise dinâmica) foi eficaz para extrair os COI essenciais necessários (por exemplo, IPs de rede, URLs, domínios) de forma consistente.

FileScan – Abordagem de próxima geração

Colocámos a nós próprios uma questão simples: e se conseguíssemos criar uma tecnologia que fizesse a ponte entre a análise estática e os sistemas de sandbox completos baseados em VM?

Precisávamos de algo que pudesse analisar milhares de ficheiros em busca de malware num curto espaço de tempo, ultrapassando camadas de ofuscação para chegar às ‘pepitas de ouro’ (IOCs) que são tão valiosas – tudo isto com baixos requisitos de recursos, fácil manutenção e elevado desempenho.

Porquê o OPSWAT FileScan?

  • Efetuar a deteção e extração de IOC para todas as ameaças comuns (ficheiros e URLs) numa única plataforma
  • Identificação rápida das ameaças, do seu potencial e atualização dos sistemas de segurança
    Pesquisa na rede empresarial de pontos terminais em risco
  • Estrutura baseada em API para fácil integração em sistemas existentes
  • Relatórios fáceis para analistas em início de carreira e resumo executivo
  • Fácil implementação (na nuvem em plataformas como a AWS ou no local, incluindo air-gapped)
  • Formatos de exportação de relatórios padrão (HTML/PDF/MISP/STIX)

Análise de risco adaptativa

A tecnologia exclusiva de análise adaptativa de ameaças do OPSWAT FileScan permite a deteção de malware de dia zero e mais extracções de Indicadores de Compromisso (IOCs).

Características principais:

  • Análise de ficheiros e URLs com diagnóstico de ameaças, capaz de processar grandes volumes graças a uma arquitetura escalável
  • Foco na extração de indicadores de intrusão (IOCs), incluindo o contexto operacional para a resposta a incidentes
  • O nosso motor patenteado de análise dinâmica rápida permite a deteção de ataques direccionados que contornam truques anti-analíticos (por exemplo, geofencing)

Forte. Rápido. Eficiente.

Utilizando uma tecnologia única de análise de ameaças adaptativa, o OPSWAT FileScan foi concebido para ser potente, rápido e eficiente.

10x mais rápido – Em qualquer corrida, a velocidade conta – e o OPSWAT FileScan é dez vezes mais rápido do que uma sandbox tradicional.

100x mais eficiente – O OPSWAT FileScan é 100x mais eficiente em termos de recursos do que outras Sandboxes.

Instalação em menos de uma hora – Em menos de uma hora, o OPSWAT FileScan ajuda-o a proteger-se contra malware.

25,000 Ficheiros por dia – Num único servidor, o OPSWAT FileScan pode processar 25,000 ficheiros por dia.

FileScan – Comparação da concorrência

A tabela abaixo compara o atual conjunto de características do motor do OPSWAT FileScan com o seu grupo de pares. Este conjunto de funcionalidades não inclui funcionalidades da plataforma, como cobertura de API, ACLs personalizáveis, integração OAuth, feedback syslog CEF, etc. Contacte-nos para marcar uma demonstração técnica e explorar todas as funcionalidades e capacidades da plataforma.

FunçõesFileScan.IOFerramenta de análise em linha baseada na nuvem AFerramenta de análise online na nuvem BFerramentas populares de análise estática
Renderizar URLs e detetar sites de phishingsimSimNãoNão
Extrair e descodificar quase todas as macros VBA maliciosasSimNãoSimNão
Analisar ficheiros VBA stomp para qualquer sistemaSimNãoNãoNão
Emulação de código de barras (x86 32/64)simNãoSimNão
Exportar formatos de relatório MISP (JSON) e STIXSimNãoNãoNão
Extrair e analisar ficheiros PE incorporadosSimNãoNãoNão
Decifrar JavaScript / VBSsimNãoSim, mas limitadoNão
Decifrar scripts do PowershellsimNãoSim, mas limitadoNão
Analisar a estrutura do METF Embed Equation exploitSimNãoNãoNão
Analisar ficheiros RTF mal formuladosSimNãoNãoNão
Analisar formatos de ficheiros binários do Office (BIFF5/BIFF8)SimNãoNãoNão
Analisar o formato de ficheiro OOXML estritoSimNãoNãoNão
Descodificar automaticamente cadeias de caracteres Base64simNãoNãoNão
Desmontagem anotada exactasimNãoNãoNão
Desencriptar documentos de escritório protegidos por palavra-passesimNãoSimNão
Descompilar JavasimNãoSimNão
Descompilar o .NETsimNãoSimNão
Calcular GUIDs da plataforma .NET (versão do módulo/identificador TypeLib)simSimNãoNão
Classificar APIs importadassimNãoNãoSim
Suporte MITER ATT&CKsimNãosimSim
Renderizar páginas PDFsimsimsimNão
Extrair ficheiros incorporados (por exemplo, OLE2 do Word)simsimSimNão
Marcar automaticamente amostras com base em assinaturassimsimSimNão
Apoio do YARAsimsimsimNão
Gerar métricas de texto (tamanho médio das palavras, etc.)SimNãoNãoNão
Deteção de constantes criptográficasSimNãoNãoNão
Análise de texto (adivinhação linguística)simsimNãoNão
Mapear UUIDs para ficheiros / metadados associados conhecidosSimNãoSim, mas limitadoNão
Filtrar cadeias de caracteres e detetar interesseinteressantesNãosimsim
Extrair e detetar sobreposiçãosimNãoNãoSim
Lista branca integradasimsimsimNão
Detetar IOCs alternativos (endereço de correio eletrónico, bitcoin, etc.)SimNãoSimNão
Calcular o authenticihashsimsimSimNão
Verificar assinaturas AuthenticodesimSimSimsim
Analisar o cabeçalho RICHsimsimSim, mas limitadosim
Calcular a entropia dos recursossimSimNãoSim
Detetar URLs de domínio e endereços IPsimSim, mas limitadoSimSim
Calcular atalhos de recursossimSimNãoSim
Calcular ImphashasimSimSimNão
Calcular SSDEEPsimSimSimNão
Extrair informações da PDBsimsimsimsim
Detetar chamadas de retorno TLSsimNãoSimSim
Resolver números ordinais de importação conhecidos em nomessimNãosimsim
Deteção de anomalias (por exemplo, validação da soma de controlo do cabeçalho)SimSim, mas limitadoSimSim
Consulta do VirusTotal para verificar a reputaçãosimsimsimsim
Deteção de empacotadores (PEiD)simsimsimsim
Detetar tipos de ficheirossimsimsimsim
Calcular as abreviaturas das secçõessimSimSimSim
Calcular a entropia das secções transversaissimsimsimSim
Extrair cadeias de caracteres do ficheiro executávelsimsimsimsim
Extrair/ocultar recursossimsimsimsim
Extrair/ocultar certificado PKCS7simsimsimsim

Tecnologia comprovada

Confiantes na robustez da nossa tecnologia e ávidos de feedback, gerimos um serviço comunitário gratuito em www.file-scan.io, que é validado por milhares de análises diárias. Este teste de campo contra novas ameaças de malware e phishing mantém a nossa solução actualizada, reforçada e com um elevado nível de qualidade. Como investigadores, é frequente experimentarmos tecnologias de ponta numa plataforma comunitária, o que nos permite adaptarmo-nos rapidamente às últimas tendências em matéria de cibersegurança. Apenas as tecnologias comprovadas chegam a um produto comercial de nível empresarial.

error: Content is protected !!