400-006-1318

新闻中心

  • SonicWall实时深度内存检测,捕捉恶意软件更快更强 2018/10/24

    最近,SonicWall发布一款全新引擎用于Capture ATP,名为实时深度内存数据包检测(RealTime Deep Memory Inspection, RTDMI),以提高技术的安全效果。由SonicWall Capture实验室威胁研究人员发明并开发的RTDMI引擎已在Capture ATP服务后台运行了几个月,进行动态的自我学习和自我提升。

    RTDMI工作机制

    SonicWall RTDMI技术对不显示任何恶意行为或通过加密隐藏其威胁武器的恶意软件进行检测和拦截。
     
    为了发现被压缩以逃避检测的恶意软件代码,RTDMI引擎让恶意软件在安全的沙箱环境中打开内存中的压缩代码来显示自身。该引擎看到了内部的代码序列,并将其与已发现的代码进行比较。在内存中识别恶意代码比区分恶意软件系统行为和正常程序系统行为更精确,后者是其他一些分析技术常使用的方法。
     
    RTDMI除了具有高度的准确性外,还改进了样品分析的时间。由于它可以在执行过程中实时检测到内存中的恶意代码或数据,因此不需要检测恶意系统行为。在任何恶意行为发生之前,都可以识别恶意代码的存在,从而做出更快的判定。
     
    识别独立的CPU级别指令的能力

    通过详细分析,SonicWall Capture实验室的研究人员发现,RTDMI引擎能够阻止利用Meltdown的漏洞的新型恶意软件。RTDMI引擎的CPU级指令检测粒度与典型的基于行为的系统只具备API/系统级别的粒度有所区别,RTDMI引擎能够检测包含Meltdown漏洞利用代码的恶意软件变体。
     
    在微软Office文件和PDF中暴露的威胁

    SonicWall Capture实验室研究人员发现,运行RTDMI后,已经发现并阻止了数百种新的基于MS Office文档的恶意软件。在进一步的审查中,Capture实验室研究人员发现,RTDMI捕获在PDF和MS Office文件中嵌入的恶意代码比第三方网络沙箱技术在并行测试中捕获的所占比例更高。

    在这些测试中,RTDMI发现了35倍的恶意PDF文档以及多出其他引擎两倍的恶意MS Office文档,从而使客户能够更好地防御这些文件中包含的恶意代码。
     
    当在Capture ATP中应用时,RTDMI引擎利用专有的漏洞检测技术与静态的检测形式相结合,以对文档进行动态分析。这些组合技术有能力探测许多恶意文档类别,包括:
     
    恶意基于Flash的Office文档
    基于漏洞和内置于Office文档的恶意软件的动态数据交换(DDE)
    包含可执行文件的恶意Office和PDF文档
    包含Office恶意软件的恶意PDF文档
    基于Shellcode的恶意Office和PDF文档
    基于Macro的恶意Office文档
    恶意多层PDF和办公文档
    利用动态专有漏洞检测技术的基于Office和PDF的恶意软件
    基于JavaScript漏洞利用的PDF文档
    PDF文档中包含“JavaScript infators”
    导致网络钓鱼和恶意托管网站的“网络钓鱼式”恶意PDF文档
     
    通过添加RTDMI引擎至Capture ATP,SonicWall的客户在分析更大规模的文件时,会看到检测率的显著改善。Capture ATP正在对该技术进行添加,价格不变。
     
    结论

    通过迫使恶意软件将其威胁武器暴露在内存中,RTDMI引擎能够主动检测并阻断面向大众市场的、零日威胁和未知的恶意软件,其误报率较低,且威胁武器暴露时间在100纳秒以内。
     

     

◎ 2015  深圳市海龙科技有限公司   电话:0755-83768289   传真:0755-83768511   粤ICP备12056869号-1