VMRay: Automatska analiza malvera
VMRay je mlada kompanija u oblasti cyber bezbednosti. Osnovana je 2013. godine u nemačkom gradu Bohumu. Osnivači kompanije spadaju u pionire automatske analize malvera i želeli su da svoja istraživanja pretvore u proizvod koji bi bio dostupan profesionalcima u oblasti IT bezbednosti.
Fokus kompanije je sve vreme bio na razvoju kvalitetnog i tehnološki jedinstvenog rešenja za zaštitu korisnika od rastućih malicioznih pretnji.
Koncept rešenja Now + Near + Deep kombinuje analizu trenutne reputacije, poznate, široko korišćene metode statičke analize, s dinamičkom analizom, kako bi se izvršila precizna procena rizika koju unosi neki fajl. Dinamička analiza zasnovana je na praćenju ponašanja fajla u sandbox okruženju pri različitim uslovima. Sandbox okruženje treba što vernije da prikaže korisničko okruženje, pa je i tu moguće prilagođavanje, na primer, na lokalnu verziju Windows operativnog sistema, kopiranje nekih fajlova…
Kako je većina savremenih malvera dizajnira da najpre procenjuje da li se nalazi u sandboxing okruženju i da se u tom slučaju ne aktivira, inženjeri razvoja su primenili rešenje koje ih izdvaja od većine ostalih komercijalno dostupnih rešenja – praćenje ponašanja fajla s nivoa hipervizora. Na taj način ono postaje nevidljivo napadaču, a osoba koja vrši analizu ima pun uvid u ponašanje malvera. Rešenje nudi mogućnost provere velikog broja različitih tipova fajlova (Office dokumenta, izvršne datoteke, arhive, e‑mail, URL‑ovi…)
Nakon analize – akcija
Po završetku analize, koja traje oko tri minuta, dostupan je detaljan izveštaj koji sadrži informacije o indikatorima kompromitovanosti (IoC) koji se kasnije mogu koristiti u različitim pretragama i analizama ili za preventivne aktivnosti na Web i mail gateway‑ima, vremenski dijagram ponašanja malvera (otvaranje mrežnih konekcija, promene u Windows registry‑ju, kreiranje novih fajlova…), i ponašanje malvera prikazano u Mitre Att@ck matrici. Analizu je moguće ponoviti uz promenu nekog od parametara. Takođe je moguće preuzeti zlonamerni fajl.
Rešenje nudi mogućnost provere različitih tipova fajlova. Tu su office dokumenti, izvršne datoteke, arhive, e‑mail, URL‑ovi…
Postoji mogućnost implementacije u cloud okruženju ili u data centru korisnika. Podržane su Microsoft Windows i MacOS platforme. U zavisnosti od veličine korisnika i broja fajlova koji bi bili analizirani, procenjuje se i potrebna licenca, kao i neophodan hardver u slučaju on premise implementacije.
Integracija s drugim rešenjima vrši se korišćenjem VMRay senzora, REST API‑ja, Built‑in konektora ili slanjem mail‑a na određenu mail adresu.
Za sva dodatna pitanja i informacije kontaktirajte nas direktno:
Goran Nikolić, GSM: +381 64 870 5609, goran.nikolic@ingrammicro.com