Malware és fájlelemzés

Miért van rá szükség?

Gyanús vagy nem egyértelmű szituációkban szükség lehet arra, hogy a beérkezett, feltöltött, kapott vagy küldött állományok speciális átvizsgáláson menjenek keresztül, melynek végén meghatározható, hogy az állomány veszélyt jelent-e a Szervezet számára.

A részletes fájlelemzéssel a vizsgálat során olyan információk nyerhetők ki, amelyek segítik az incidens feltárását és a fertőzési források, vektorok és eljárások meghatározását, felderítését és segítségre lehetnek a fertőzés megszüntetésében (Incident Response).

Multiscanning TeleBot backdoor (Telegram Bot)

IOC-célú vizsgálatok

A malware- és fájlelemzés szolgáltatásban az állományok IOC-célú vizsgálatokon mennek keresztül. A vizsgálatok eredménye egy részletes riport, amely megválaszolja a legfontosabb kérdéseket:

  • A vizsgált állomány káros-e a Szervezet számára?
  • Hogyan fertőzött a malware (vektor)?
  • Hogyan akadályozható meg a továbbfertőzés?
  • Hogyan állapítható meg, hogy mely eszközök lehetnek érintettek?
  • Hogyan távolítható el a fertőzés az érintett eszközökről?

A szolgáltatás IOC célú vizsgálata tartalmazza a statikus és dinamikus kódelemzéseket. A viselkedés alapú vizsgálat során nem az állomány vagy a kód szignatúrája, hanem az állomány felhasználásakor (megnyitás, futtatás) lejátszódó események és az állomány valós viselkedése kerül ellenőrzésre (manuális vagy automatikus sandboxing).

A kimeneti riport informatív és egyértelműsít; minden gyanús tevékenység és hálózati kommunikáció lekövethető és felderíthető, amelyet az adott kód vagy állomány bonyolít. A kimeneti riport egyértelmű választ ad arra, hogy az állomány kártékony-e és incidenskezelés alá vonandó, avagy nem hordoz veszélyeket a vállalat számára.

Multiscanning

Hogyan dolgozunk?

A vizsgálat célja, hogy a vizsgált állománnyal kapcsolatban IOC (indicator-of-compromised) adatok kerüljenek összegyűjtésre, amelyek az incidenskezelési eljárásban lehetővé teszik a további felderítést és bizonyítékgyűjtést (a fájl által végrehajtott módosítások jelen vannak-e további eszközökön?, stb.).

Az előállított IOC lista ezért átadásra kerül a Megbízó részére, aki saját eszközeivel (logok, végpontok) ellenőrizni tudja azt, hogy más eszközök is érintettek-e az eseménnyel kapcsolatban.

Kompetenciák

  • Statikus és dinamikus vizsgálatok
  • Manuális és automatikus sandboxing
  • Shellcode és JS kódok vizsgálata, deobfuszkáció
  • YARA, klasszifikáció