Malware és fájlelemzés
Miért van rá szükség?
Gyanús vagy nem egyértelmű szituációkban szükség lehet arra, hogy a beérkezett, feltöltött, kapott vagy küldött állományok speciális átvizsgáláson menjenek keresztül, melynek végén meghatározható, hogy az állomány veszélyt jelent-e a Szervezet számára.
A részletes fájlelemzéssel a vizsgálat során olyan információk nyerhetők ki, amelyek segítik az incidens feltárását és a fertőzési források, vektorok és eljárások meghatározását, felderítését és segítségre lehetnek a fertőzés megszüntetésében (Incident Response).

IOC-célú vizsgálatok
A malware- és fájlelemzés szolgáltatásban az állományok IOC-célú vizsgálatokon mennek keresztül. A vizsgálatok eredménye egy részletes riport, amely megválaszolja a legfontosabb kérdéseket:
- A vizsgált állomány káros-e a Szervezet számára?
- Hogyan fertőzött a malware (vektor)?
- Hogyan akadályozható meg a továbbfertőzés?
- Hogyan állapítható meg, hogy mely eszközök lehetnek érintettek? Hogyan távolítható el a fertőzés az érintett eszközökről?
A szolgáltatás IOC célú vizsgálata tartalmazza a statikus és dinamikus kódelemzéseket. A viselkedés alapú vizsgálat során nem az állomány vagy a kód szignatúrája, hanem az állomány felhasználásakor (megnyitás, futtatás) lejátszódó események és az állomány valós viselkedése kerül ellenőrzésre (manuális vagy automatikus sandboxing).
A kimeneti riport informatív és egyértelműsít; minden gyanús tevékenység és hálózati kommunikáció lekövethető és felderíthető, amelyet az adott kód vagy állomány bonyolít. A kimeneti riport egyértelmű választ ad arra, hogy az állomány kártékony-e és incidenskezelés alá vonandó, avagy nem hordoz veszélyeket a vállalat számára.

Hogyan dolgozunk?
A vizsgálat célja, hogy a vizsgált állománnyal kapcsolatban IOC (indicator-of-compromised) adatok kerüljenek összegyűjtésre, amelyek az incidenskezelési eljárásban lehetővé teszik a további felderítést és bizonyítékgyűjtést (a fájl által végrehajtott módosítások jelen vannak-e további eszközökön?, stb.).
Az előállított IOC lista ezért átadásra kerül a Megbízó részére, aki saját eszközeivel (logok, végpontok) ellenőrizni tudja azt, hogy más eszközök is érintettek-e az eseménnyel kapcsolatban.
Kompetenciák
- Statikus és dinamikus vizsgálatok
- Manuális és automatikus sandboxing
- Shellcode és JS kódok vizsgálata, deobfuszkáció
- YARA, klasszifikáció