Hướng dẫn deobfuscate DotnetPatcher 3.1 - Bài dịch
McAfee Advance Theats Defense
1.
2. Được sử dụng làm một hệ thống phát hiện và
phân tích các loại malware cũng như ngăn
chặn các cuộc tấn công có sử dụng malware
vào hệ thống
Tích hợp sẵn các phương pháp nhận diện và
phân tích malware
Có thể liên kết với các sản phẩm khác của
McAfee để nâng cao hiệu quả hoạt động
3. Static Analysis:
◦ Blacklist/Whitelist
◦ McAfee Gateway Anti Malware Engine (GAM)
◦ McAfee Anti Malware Engine
◦ McAfee Global Threat Intelligence (GTI)
Dynamic Analysis:
◦ Sandboxing
4. Là 1 database lưu trữ thông tin MD5 Signature,
tên file, mức độ nguy hiểm,…) của các file
malware (trong Blacklist) và các file clean (trong
Whitelist) nhằm mục đích phục vụ việc nhận diện
các malware phổ biến.
Các file khi được submit lên hệ thống ATD sẽ
được kiểm tra xem đã tồn tại thông tin trong
blacklist hay whitelist hay chưa, dựa vào kết quả
trả về hệ thống sẽ quyết định các giai đoạn phân
tích tiếp theo.
Có thể thêm bớt các entry bên trong
blacklist/whitelist này để tăng hiệu quả hoạt động
5. Một hệ thống cung cấp khả năng mô phỏng
môi trường web ảo để có thể nhận diện
malware hay 0-day exploits được sử dụng để
tấn công vào hệ thống
6. Hệ thống phát hiện malware chính của
Mcafee, sử dụng phương pháp quét và nhận
diện signature của các file malware
Hoạt động giống như một chương trình
antivirus
Có liên kết với Blacklist/Whitelist
7. MATD có thể truy cập đến McAfee GTI để lấy
về thông tin mới nhất của các loại malware
mới được phát hiện bởi các tổ chức, doanh
nghiệp, cá nhân trên toàn thế giới và đã được
submit lên hệ thống của McAfee.
8. Đối với các file lạ mà static analysis không
phát hiện được, MATD sử dụng công nghệ
sandboxing để có thể trực tiếp phân tích file
đó trong các VM, dựa vào hành vì trong quá
trình hoạt động của file để xác định xem file
đó có nguy hiểm hay không, sau đó đưa ra
report về quá trình phân tích
VM sử dụng các OS phổ biến: winxp, win7,
win8, win server, android,…
10. MATD hoạt động như một hệ thống độc lập.
Người dùng submit thủ công file cần analysis
lên hệ thống của MATD (Web upload, Transfer
thông qua FTP Clients…) và nhận lại kết quả
phân tích của MATD.
Thích hợp để triển khai trong quá trình thử
nghiệm sản phẩm, hoặc triển khai trong
không gian mạng độc lập, hoặc sử dụng để lấy
chi tiết thông tin trong quá trình phân tích
malware
12. MATD tích hợp với NSP, hoạt động song song với NSP, thực hiện
chức năng phân tích và nhận diện malware, sau đó đưa thông tin
cảnh báo dựa trên kết quả phân tích về cho NSP, để NSP quyết
định phương pháp xử lý.
- NSP phát hiện ra file đang được download và gửi một bản copy
sang cho MATD để phân tích. Nếu MATD phát hiện ra malware
trong thời gian ngắn và thông báo lại với Sensor, Sensor có thể
chặn việc download file. NSP Manager hiển thị kết quả phân tích
của MATD
- Nếu MATD cần nhiều thời gian để phân tích, NSP Sensor sẽ cho
phép file được download về. Khi MATD phát hiện ra malware sau
quá trình phân tích, sẽ có 1 thông báo gửi cho Sensor, dựa vào
đó Sensor có thể cách li máy bị nhiễm malware cho đến khi
malware được loại bỏ hoàn toàn khỏi máy đó. Có thể cấu hình
cho NSP Manager để updatethoong tin cho Sensor, từ đó ngăn
chặn việc download file tương tự trong toàn bộ hệ thống
13. MATD có thể query đến hệ thống ePO để lấy về
thông tin của máy tại endpoint, từ đó lựa
trọng VM phù hợp nhất (gần giống với os tại
máy enpoint nhất) để sử dụng trong quá trình
dynamic analysis
15. Mục đích chính là để đảm bảo sự cân bằng
giữa thời gian download file của người dùng
và vấn đề bảo mật.
Chỉ có những file không nhận diện được bời
MWG mới được chuyển sang MATD để phân
tích toàn diện và đầy đủ hơn
16. Nhận diện file download (MWG,NSP,MEG…)
Submit file lên MATD
Phân tích file để phát hiện malware. MATD
phân tích file và gửi report về.
Chặn đứng việc download file tương tự trong
tương lai dựa trên report từ MATD
Xác định, cách ly và xử lý máy bị lây nhiễm:
Được thực hiện bởi NSP
17. Có thể liên kết để lấy dữ liệu từ McAfee GTI
Có thể tích hợp tốt với các sản phẩm khác của
McAfee
Không tham gia trực tiếp vào Network Traffic
Có thể phân tích Android Malwares
Kiểm tra đồng thời bằng nhiều Engine khác nhau
Tích hợp với McAfee ePO để lựa chọn môi trường
dynamic analysis tốt nhất có thể
Có khả năng phát hiện và ngăn chặn 0day
malwares, unknown exploits trên toàn hệ thống
khi tích hợp với NSP Sensors