Sistema de Análisis de Malware de FireEye Análisis forense de próxima generación de malware avanzado, del día

cero y del ataques específicos cero-día y de los ataques específicos APT

El dispositivo de Sistema de Análisis de Malware de FireEye™ Malware brinda a los analistas de amenazas

un control a su alcance sobre un ambiente de prueba auto-configurado de gran potencia donde se pueden

examinar profundamente el malware avanzado, los ataques del día cero y los ataques específicos embebidos

en formatos de archivo comunes, en adjuntos del email y en objetos Web.

“Una de las grandes atracciones de la solución de FireEye es que el análisis está realizado en un ambiente de ejecución

virtual para determinar si un pedazo de código señalado es realmente una amenaza. La información detallada que se genera

nos permite establecer la opción óptima para resolver un tema. Nos pone en la posición de saber exactamente cómo reaccionar.”— Director de Seguridad Cibernética, Sector Energético

Dentro del Motor de Ejecución Virtual de FireEye

Descripción de la Tecnología

Determine los Ataques al OS, a los Buscadores y

a las Aplicaciones

Pase el Tiempo Analizando, no Administrando

Mientras que los criminales adaptan los ataques para

penetrar un negocio, una cuenta de usuario o un sistema

específicos, los analistas necesitan herramientas forenses de

más fácil utilización que puedan ayudarlos a probar, correr,

caracterizar y documentar las actividades maliciosas muy

particulares. El Sistema de Análisis de Malware de FireEye

(MAS) analiza malware avanzado, del día cero y ataques

específicos APT que evaden en forma agresiva las defensas

basadas en la firma y comprometen a una gran mayoría de

redes corporativas.

FireEye permite a los analistas internos una visión completa

de 360 grados de un ataque, desde su exposición inicial

hasta la trayectoria de ejecución del malware a los destinos

del callback y a sus consecutivos intentos de descarga del

malware. A través de de un motor de ejecución virtual de

Windows, el sistema de FireEye ejecuta completamente el

código sospechoso para permitir la inspección profunda de

los ataques avanzados embebidos en formatos de archivo

comunes, adjuntos de email y objetos Web. FireEye examina

archivos simples o en conjunto por malware y rastrea

intentos de conexiones externas sobre múltiples protocolos.

Proporciona no sólo una confirmación del malware, sino

también una comprensión completa del intento del

software malicioso.

El motor virtual de ejecución de FireEye (VX) ofrece

hardware de PC virtualizado que funciona con versiones

hechas y derechas de sistemas operativos de Microsoft así

como los buscadores, los plug-ins y otras aplicaciones de

terceros. Con la conveniencia de un dispositivo real, estos

sistemas liberan a los administradores de setups, baselining y

restauraciones de ambientes de máquinas virtuales usados

en el análisis manual del malware que les insumen mucho

tiempo.

Puntos DestacablesŸ

Ÿ

Ÿ

Ÿ

Ÿ

Ÿ

Ÿ

Análisis de líneas de streaming y de series de archivos, códigos Web y ejecutables sospechososInformes en profundidad sobre el nivel de sistema OS y los cambios en las aplicaciones en los archives del sistema, memoria y registros.Ofrece análisis en sandbox o en vivo para confirmar intentos del día cero.Demuestra el intento del malware con detalles del ataque, los cambios de sistema y las transmisiones externas.Elimina los dolores de cabeza de de la implementación y la adaptación en un ambiente preconfigurado, más la configuración automatizada y la eliminación de las imágenes de prueba virtualesGenera dinámicamente inteligencia del malware para la protección local inmediata Captura paquetes para permitir análisis de sesiones de URL y ejecuciones de código maliciosos.

Sistema de Análisis de Malware de FireEye

Elija entre los Modos de Análisis “Sandbox” y “Honeypot”FireEye ofrece tanto un modo “sandbox” como en vivo, en la red o modo “honeypot” para el análisis del malware. En el primero, los investigadores pueden atestiguar la trayectoria de ejecución de muestras particulares de malware. Cuando el MAS confirma el software malicioso, genera un perfil dinámico y anónimo del ataque y puede distribuirlo a través del Sistema de Gestión Central a otros dispositivos de Sistema de Protección de Malware Web y para Email de FireEye. La inteligencia sobre amenazas generada dinámicamente incluye:

Perf i les de ataque del Malware, incluyendo identificadores de código malware, URLs y otras fuentes de infecciones internas y ataques. Análisis de los adjuntos del email y de los URL Calificación completa de los destinos del malware callback(la dirección IP de destino, protocolos y puertos utilizados) que identifican sitios Web y fuentes de email maliciosos.Características del protocolo de comunicación del malware, tales como comandos customizados usados para iniciar instantáneamente sesiones de transmisión

Además del análisis fuera de línea en un ambiente seguro y

encapsulado (sandbox), FireEye ofrece un modo de análisis

completo del ciclo vital del malware en vivo, “honeypot en

la red”. El cauteloso malware de la actualidad ha esquivado

tecnologías de seguridad convencionales revelando

múltiples etapas. La primera etapa de aprovechamiento de

la vulnerabilidad establece simplemente un punto de

desembarco para que los criminales puedan poseer

completamente el endpoint. FireEye integra inspecciones

de entrada y de salida a través de protocolos múltiples para

un análisis de amenazas completo del OS, basado en

Internet, amenazas con email y aplicaciones que atacan a

través de múltiples vectores. Por ejemplo, después de

confirmar un hecho “heap spray” que se utiliza para facilitar

la ejecución arbitraria de código; el modo “honypot” del

MAS se conectó a la salida y bajó malware adicional. El

“heap spray”, la corrupción de memoria localizada y otros

casos de malware se catalogan, así como también los

destinos externos del malware para el uso de investigadores

y analistas.

Ÿ

Ÿ Ÿ

Ÿ

Red Global de Protección contra el MalwareLos clientes que usan los Sistemas de Protección de Malware Web o para Emai l de Fi reEye pueden cargar automáticamente datos forenses del malware en sus dispositivos a través del Sistema de Gesión Central de FireEye para bloquear tentativas filtrado externo de datos y para parar ataques de ingreso conocidos. Para compartir las ventajas de los descubrimientos de malware en tiempo real recolectada por los motores locales de análisis de FireEye, los analistas también pueden compartir estos datos con la Protección de Malware en la Nube de FireEye. Este sistema de vigía de crimen cibernético proporciona a lo suscriptores la última inteligencia en ataques de entrada y en callbacks desautorizadas externos en tiempo real.

Con los motores de ejecución virtuales pre-configurados eliminando la necesidad de adaptar la heurística, el sistema de análisis de malware de FireEye ahorra a los administradores tiempo y dolores de cabeza en la configuración. El dispositivo ofrece una aplicación sin clientes, basada en la red para una implementación rápida. Esto es una solución de manejo sencillo y rentable que ayuda a los investigadores de amenazas a analizar amenazas de la próxima generación sin agregar gastos indirectos de manejo de la red y de seguridad.

Especificaciones Técnicas