检测rtf格式

概述近年来,数据泄露事件频频发生,仅2016年就有数亿条数据记录被泄露,攻击者通常利用频繁变换的未知恶意软件变种,通过钓鱼邮件、水坑式攻击等多种方式,结合0-Day漏洞、高级逃逸技术等多种技术手段,绕过现有的大部分安全设备,躲避多层次的网络防护和过滤,在内网建立攻击跳板,最终达到窃取关键信息资产、破坏企业IT基础设施等目的.
华为推出FireHunter-云沙箱解决方案,通过在云端架设沙箱集群,与华为下一代防火墙联动部署,提供给企业云端检测高级恶意软件服务.
沙箱技术通过模拟文件执行环境,分析和收集未知软件的静态及动态行为,进行行为模式学习和匹配综合分析,检测出未知恶意软件,有效避免未知威胁攻击的迅速扩散和企业核心信息资产损失.
FireHunter-云沙箱服务具有更高的检测能力,随买随用,方便部署.
华为FireHunter-云沙箱Portal的统一入口为http://sec.
huawei.
com(简称sec网站),用户使用Portal之前需要在sec网站上注册账户,任何华为客户都可以免费注册,注册登录之后系统根据用户当前所在的区域自动为其跳转到欧洲或者中国的云端沙箱Portal,用户可以手动从Portal提交文件以及查看检测报告,还可以将NGFW之类的设备与账户绑定,绑定之后可以查看设备提交的文件列表和文件的详细检测报告.
FireHunter-云沙箱主要特点信誉体系多层次过滤已知威胁:华为FireHunter-云沙箱内部部署有多家国内外主流AV厂商的检测引擎,FireHunter-云沙箱接收到文件后,先通过所有的AV引擎对文件进行检测.
AV引擎检测性能高,对已知威胁有高达99%以上的检出率.
通过多AV检测,可以快速发现已知威胁,也给FireHunter-云沙箱的最终检测结论提供有力的支撑.
动静结合,分钟级检测未知威胁:云端沙箱静态启发式检测技术,可分析二进制代码、ShellCode等,主要对文件结构、文件代码进行分析来检测病毒.
云端动态检测主要基于反病毒虚拟机技术,通过模拟IE、Adobe、Windows操作系统等构造一个反病毒虚拟机,然后把病毒程序加载到仿真的系统中运行,虚拟机中有若干行为监控点,对程序行为进行实时监控,当发现恶意行为时就停止运行并报毒.
FireHunter-云沙箱的虚拟执行环境检测技术,能够模拟多套WindowsXP、Win7、Win10,根据文件属性,自动选择匹配的虚拟执行环境,通过监视进程运行期间的API调用行为来识别进程对应的程序文件是否是恶意软件.
云端沙箱高级抗逃逸技术,能够通过检测利用交互、执行文件路径检测、虚拟机环境检查、延时对抗、环境检测等技术的高级逃逸手段,防止恶意软件潜伏、躲避虚拟机检测,快速检测恶意文件,并给出检测结果.
华为技术有限公司华为FireHunter-云沙箱安全解决方案随买随用,防御未知威胁详细威胁报告:通过云端账号登陆Portal,可手动查看检测列表和检测报告,该报告呈现多操作系统检测结果、详细威胁沙箱分析步骤、处理建议等,包括威胁等级、威胁行为、文件信息、shellcode内容、文件执行时的网络抓包、样本文件、文件传输流量信息、样本行为序列、单个或者批量下载样本压缩包等.
服务随买随用,方便部署:防火墙购买云端沙箱license服务,本地防火墙使用多种还原技术,包括分片分段重组、协议去干扰、统计识别、启发式行为识别、SSL代理解密等,还原文件中的文件,送云端沙箱检测.
云端沙箱License随买随用方案,快速方便部署、适合中小企业.
专家团队支持:专业安全专家团队,可以快速关联将样本单一活动和行为进行关联,并将其与数以百万计的其他样本比较,结合云端威胁情报,充分了解其在历史和全球范围内的行为及影响.
ξFireHunterξマ㈨PEマPDFマWebマWindowsxp-sp3/Win7/Win10ξマУノIPSNGFWIPηWebηηAVURLPortal图1:FireHunter-云沙箱总体工作流程ηoffice/1342PEPDFWEBWindowsxp-sp3/Win7/Win10η图2:FireHunter-云沙箱检测模型华为FireHunter-云沙箱安全解决方案随买随用,防御未知威胁FireHunter-云沙箱主要检测能力华为云端沙箱支持对多种类型的文件进行检测,详见下表.
手动提交样本时,可以提交上述所有文件类型;本地安全设备与FireHunter-云沙箱联动时,出于性能考虑会限制某些文件类型,如华为NGFW上目前只能提交Windows可执行文件、MSOfce97-2003、MSOfce和PDF文件.
表1.
FireHunter-云沙箱支持的虚拟操作系统和主要检测文件类型列表:主要功能操作系统WindowsXP、Windows732bitand64bit、Windows1032bitand64bit,FireHunter-云沙箱根据文件选择操作系统检测Portal支持的浏览器支持火狐46及以上版本、谷歌50及以上版本浏览器流量还原支持http、smtp、pop3、imap、ftp协议的流量还原脚本文件类型CMD文件、bat文件、vbs文件、vbe文件、ruby文件、ps1、asp文件、php文件、python文件PE文件检测压缩格式的PE文件、exe文件、dll文件PDF文件检测PDF、压缩格式的PDFWeb文件检测Html/Htm格式文件、Javascript文件、压缩格式的Web文件、Flash格式的文件、JavaApplet文件、支持URL检测Ofce文件检测word格式文件、excel格式文件、powerpoint格式文件、rtf格式文件、WPS格式文件、压缩格式的Ofce文件图像文件检测gif、jpg、png、tiff、压缩格式文件其他SWF文件类型、COM文件类型FireHunter-云沙箱主要客户价值1.
分钟级检测未知威胁:未知恶意文件实时检测,最新信誉信息实时同步到网络、安全设备、服务器、终端设备.
2.
提高小企业抵御APT攻击的能力:云端沙箱比本地沙箱有更强的安全检测能力,可以进行高危样本的深度检测.
3.
降低小企业沙箱部署成本,减少部署时间:云端沙箱为无力购买本地沙箱的中小企业提供一种可以使用沙箱服务的途径.
订购信息FireHunter-云沙箱客户可以直接通过云Portal提交样品,或使用本地防火墙设备,通过API接口与FireHunter-云沙箱联动,自动上传样本.
所有的FireHunter-云沙箱License被授权提供1年、2年或3年订阅与保障服务.
表2.
目前支持FireHunter-云沙箱服务的防火墙列表:型号描述以下适用于国内企业网LIC-CS-1Y-USG63A云沙箱检测服务1年license(适用于USG6306/08)LIC-CS-3Y-USG63A云沙箱检测服务3年license(适用于USG6306/08)LIC-CS-1Y-USG63B云沙箱检测服务1年license(适用于USG6320)LIC-CS-3Y-USG63B云沙箱检测服务3年license(适用于USG6320)LIC-CS-1Y-USG63C云沙箱检测服务1年license(适用于USG6330/50/60)LIC-CS-3Y-USG63C云沙箱检测服务3年license(适用于USG6330/50/60)LIC-CS-1Y-USG63D云沙箱检测服务1年license(适用于USG6370/80)LIC-CS-3Y-USG63D云沙箱检测服务3年license(适用于USG6370/80)LIC-CS-1Y-USG63E云沙箱检测服务1年license(适用于USG6390/6390E)LIC-CS-3Y-USG63E云沙箱检测服务3年license(适用于USG6390/6390E)LIC-CS-1Y-USG65云沙箱检测服务1年license(适用于USG6500)LIC-CS-3Y-USG65云沙箱检测服务3年license(适用于USG6500)LIC-CS-1Y-USG66云沙箱检测服务1年license(适用于USG6600)LIC-CS-3Y-USG66云沙箱检测服务3年license(适用于USG6600)LIC-CS-1Y-USG9500云沙箱检测服务1年License(适用于USG9500)LIC-CS-3Y-USG9500云沙箱检测服务3年License(适用于USG9500)型号描述以下适用于国内运营商LIC-CS-1Y-E200E云沙箱检测服务1年license(适用于E200E-N)LIC-CS-3Y-E200E云沙箱检测服务3年license(适用于E200E-N)LIC-CS-1Y-E1KE云沙箱检测服务1年license(适用于E1000E-N)LIC-CS-3Y-E1KE云沙箱检测服务3年license(适用于E1000E-N)LIC-CS-1Y-E8KE云沙箱检测服务1年license(适用于E8000E-N)LIC-CS-3Y-E8KE云沙箱检测服务3年license(适用于E8000E-N)以下适用于国内企业网、运营商LIC-CS-1Y-NGFWM云沙箱检测服务1年license(适用于交换机NGFW插板)LIC-CS-3Y-NGFWM云沙箱检测服务3年license(适用于交换机NGFW插板)LIC-CS12-NIP60云沙箱检测服务1年license(适用于NIP6300&6610)LIC-CS12-NIP60云沙箱检测服务2年license(适用于NIP6300&6610)LIC-CS12-NIP66A云沙箱检测服务1年license(适用于NIP6620)LIC-CS24-NIP66A云沙箱检测服务2年license(适用于NIP6620)LIC-CS12-NIP66B云沙箱检测服务1年license(适用于NIP6650&6680)LIC-CS24-NIP66B云沙箱检测服务2年license(适用于NIP6650&6680)关于本文档本文档仅供参考,不构成任何承诺或保证.
本文档中的商标、图片、标识均归华为技术有限公司或拥有合法权利的第三方所有.
版权所有华为技术有限公司2017.
保留一切权利.