fire eye mas_ds
TRANSCRIPT
Sistema de Análisis de Malware de FireEye Análisis forense de próxima generación de malware avanzado, del día
cero y del ataques específicos cero-día y de los ataques específicos APT
El dispositivo de Sistema de Análisis de Malware de FireEye™ Malware brinda a los analistas de amenazas
un control a su alcance sobre un ambiente de prueba auto-configurado de gran potencia donde se pueden
examinar profundamente el malware avanzado, los ataques del día cero y los ataques específicos embebidos
en formatos de archivo comunes, en adjuntos del email y en objetos Web.
“Una de las grandes atracciones de la solución de FireEye es que el análisis está realizado en un ambiente de ejecución
virtual para determinar si un pedazo de código señalado es realmente una amenaza. La información detallada que se genera
nos permite establecer la opción óptima para resolver un tema. Nos pone en la posición de saber exactamente cómo reaccionar.”— Director de Seguridad Cibernética, Sector Energético
Dentro del Motor de Ejecución Virtual de FireEye
Descripción de la Tecnología
Determine los Ataques al OS, a los Buscadores y
a las Aplicaciones
Pase el Tiempo Analizando, no Administrando
Mientras que los criminales adaptan los ataques para
penetrar un negocio, una cuenta de usuario o un sistema
específicos, los analistas necesitan herramientas forenses de
más fácil utilización que puedan ayudarlos a probar, correr,
caracterizar y documentar las actividades maliciosas muy
particulares. El Sistema de Análisis de Malware de FireEye
(MAS) analiza malware avanzado, del día cero y ataques
específicos APT que evaden en forma agresiva las defensas
basadas en la firma y comprometen a una gran mayoría de
redes corporativas.
FireEye permite a los analistas internos una visión completa
de 360 grados de un ataque, desde su exposición inicial
hasta la trayectoria de ejecución del malware a los destinos
del callback y a sus consecutivos intentos de descarga del
malware. A través de de un motor de ejecución virtual de
Windows, el sistema de FireEye ejecuta completamente el
código sospechoso para permitir la inspección profunda de
los ataques avanzados embebidos en formatos de archivo
comunes, adjuntos de email y objetos Web. FireEye examina
archivos simples o en conjunto por malware y rastrea
intentos de conexiones externas sobre múltiples protocolos.
Proporciona no sólo una confirmación del malware, sino
también una comprensión completa del intento del
software malicioso.
El motor virtual de ejecución de FireEye (VX) ofrece
hardware de PC virtualizado que funciona con versiones
hechas y derechas de sistemas operativos de Microsoft así
como los buscadores, los plug-ins y otras aplicaciones de
terceros. Con la conveniencia de un dispositivo real, estos
sistemas liberan a los administradores de setups, baselining y
restauraciones de ambientes de máquinas virtuales usados
en el análisis manual del malware que les insumen mucho
tiempo.
Puntos DestacablesŸ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Ÿ
Análisis de líneas de streaming y de series de archivos, códigos Web y ejecutables sospechososInformes en profundidad sobre el nivel de sistema OS y los cambios en las aplicaciones en los archives del sistema, memoria y registros.Ofrece análisis en sandbox o en vivo para confirmar intentos del día cero.Demuestra el intento del malware con detalles del ataque, los cambios de sistema y las transmisiones externas.Elimina los dolores de cabeza de de la implementación y la adaptación en un ambiente preconfigurado, más la configuración automatizada y la eliminación de las imágenes de prueba virtualesGenera dinámicamente inteligencia del malware para la protección local inmediata Captura paquetes para permitir análisis de sesiones de URL y ejecuciones de código maliciosos.
Sistema de Análisis de Malware de FireEye
Elija entre los Modos de Análisis “Sandbox” y “Honeypot”FireEye ofrece tanto un modo “sandbox” como en vivo, en la red o modo “honeypot” para el análisis del malware. En el primero, los investigadores pueden atestiguar la trayectoria de ejecución de muestras particulares de malware. Cuando el MAS confirma el software malicioso, genera un perfil dinámico y anónimo del ataque y puede distribuirlo a través del Sistema de Gestión Central a otros dispositivos de Sistema de Protección de Malware Web y para Email de FireEye. La inteligencia sobre amenazas generada dinámicamente incluye:
Perf i les de ataque del Malware, incluyendo identificadores de código malware, URLs y otras fuentes de infecciones internas y ataques. Análisis de los adjuntos del email y de los URL Calificación completa de los destinos del malware callback(la dirección IP de destino, protocolos y puertos utilizados) que identifican sitios Web y fuentes de email maliciosos.Características del protocolo de comunicación del malware, tales como comandos customizados usados para iniciar instantáneamente sesiones de transmisión
Además del análisis fuera de línea en un ambiente seguro y
encapsulado (sandbox), FireEye ofrece un modo de análisis
completo del ciclo vital del malware en vivo, “honeypot en
la red”. El cauteloso malware de la actualidad ha esquivado
tecnologías de seguridad convencionales revelando
múltiples etapas. La primera etapa de aprovechamiento de
la vulnerabilidad establece simplemente un punto de
desembarco para que los criminales puedan poseer
completamente el endpoint. FireEye integra inspecciones
de entrada y de salida a través de protocolos múltiples para
un análisis de amenazas completo del OS, basado en
Internet, amenazas con email y aplicaciones que atacan a
través de múltiples vectores. Por ejemplo, después de
confirmar un hecho “heap spray” que se utiliza para facilitar
la ejecución arbitraria de código; el modo “honypot” del
MAS se conectó a la salida y bajó malware adicional. El
“heap spray”, la corrupción de memoria localizada y otros
casos de malware se catalogan, así como también los
destinos externos del malware para el uso de investigadores
y analistas.
Ÿ
Ÿ Ÿ
Ÿ
Red Global de Protección contra el MalwareLos clientes que usan los Sistemas de Protección de Malware Web o para Emai l de Fi reEye pueden cargar automáticamente datos forenses del malware en sus dispositivos a través del Sistema de Gesión Central de FireEye para bloquear tentativas filtrado externo de datos y para parar ataques de ingreso conocidos. Para compartir las ventajas de los descubrimientos de malware en tiempo real recolectada por los motores locales de análisis de FireEye, los analistas también pueden compartir estos datos con la Protección de Malware en la Nube de FireEye. Este sistema de vigía de crimen cibernético proporciona a lo suscriptores la última inteligencia en ataques de entrada y en callbacks desautorizadas externos en tiempo real.
Con los motores de ejecución virtuales pre-configurados eliminando la necesidad de adaptar la heurística, el sistema de análisis de malware de FireEye ahorra a los administradores tiempo y dolores de cabeza en la configuración. El dispositivo ofrece una aplicación sin clientes, basada en la red para una implementación rápida. Esto es una solución de manejo sencillo y rentable que ayuda a los investigadores de amenazas a analizar amenazas de la próxima generación sin agregar gastos indirectos de manejo de la red y de seguridad.
Especificaciones Técnicas