Năm 2021, nhóm Lazarus đã nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng cách sử dụng các dự án Visual Studio bị nhiễm mã độc. Năm 2024, chúng đã cài đặt các gói phần mềm độc hại lên PyPI thông qua kỹ thuật typosquatting. Và trong một chiến dịch đang diễn ra từ ít nhất là tháng 3 năm 2025, nhóm này đã chuyển sang sử dụng các mồi nhử lừa đảo có mục tiêu (spear phishing) mạo danh Edge Group, IIT Kanpur và Airbus, nhằm vào các tổ chức trong lĩnh vực hàng không vũ trụ và quốc phòng.
Cách thức triển khai có thể thay đổi, nhưng chiến lược cốt lõi thì không. Mỗi phiên bản của cửa hậu Comebacker do nhóm này phát triển đều dựa vào cùng một điểm xâm nhập: một tệp tin mà người dùng mở ra và tin tưởng. Một phân tích gần đây của ENKI đã mô tả chi tiết biến thể Comebacker mới nhất này và cho thấy một sự phát triển kỹ thuật đáng chú ý.
Hiện tại, phần mềm độc hại này sử dụng một thuật toán XOR/hoán đổi bit tùy chỉnh thay vì các thuật toán mã hóa RC4 hoặc HC256 như trong các phiên bản trước. Các giai đoạn tải xuống đã chuyển sang sử dụng mã hóa ChaCha20. Và lần đầu tiên, lưu lượng giao tiếp điều khiển và chỉ huy được mã hóa bằng AES-128-CBC, từ bỏ hình thức giao tiếp bằng văn bản thuần túy vốn khiến các biến thể trước đây dễ bị chặn hơn.
Mỗi thay đổi này đều được thiết kế để lách qua các cơ chế phát hiện dựa trên chữ ký, và tất cả đều trở nên vô nghĩa nếu tệp độc hại ngay từ đầu không bao giờ đến tay người dùng. Đối với các tổ chức quản lý các chương trình mật, dữ liệu chịu sự kiểm soát của ITAR hoặc các hệ thống OT quan trọng đối với nhiệm vụ, chỉ cần một máy trạm bị xâm nhập cũng có thể dẫn đến một sự cố trong chuỗi cung ứng.
Bài viết này phân tích cơ chế hoạt động của chuỗi lây nhiễm Comebacker, lý do tại sao các biện pháp phòng thủ truyền thống gặp khó khăn trong việc đối phó với nó, cũng như cách tiếp cận “phòng ngừa là ưu tiên hàng đầu” Bảo mật tập tin — được triển khai tại cổng email, ranh giới thiết bị lưu trữ di động và mọi điểm truy cập giữa các khu vực này — giúp vô hiệu hóa mối đe dọa bất kể mã độc được che giấu như thế nào.
Cách các cuộc tấn công qua tệp tin vượt qua hệ thống phòng thủ biên giới
Các thực thể nhà nước như Nhóm Lazarus lợi dụng email và các thiết bị lưu trữ di động vì các tổ chức hàng không vũ trụ và quốc phòng thường dựa vào những kênh này để truyền tải tệp tin qua mạng. Điều khiến Comebacker khó bị phát hiện chính là những gì xảy ra sau khi tệp tin được gửi đến. Tệp tin ban đầu trông có vẻ hợp pháp, nhưng ngay khi được mở ra, nó sẽ kích hoạt một chuỗi thực thi nhiều giai đoạn được thiết kế để ẩn mình.
Các điểm tiếp cận chính cho các chiến dịch theo phong cách Comebacker
Email:
Các tệp đính kèm chứa mã độc được ngụy trang dưới dạng hợp đồng nhà cung cấp, bản cập nhật dự án hoặc hóa đơn. ENKI đã phát hiện bốn tệp .docx mồi nhử mạo danh Edge Group, IIT Kanpur và Airbus trong một chiến dịch đã diễn ra từ ít nhất tháng 3 năm 2025.
Phương tiện ngoại vi:
USB hoặc đĩa di động bị nhiễm mã độc được đưa vào mạng kỹ thuật hoặc sản xuất trong quá trình vận hành thường xuyên như cập nhật phần mềm hoặc các chu kỳ bảo trì.
Một macro VBA giải mã một trình tải (loader) cùng với một tài liệu giả mạo trông rất chân thực bằng cách sử dụng thuật toán XOR/hoán đổi bit tùy chỉnh. Trình tải này hoạt động theo chuỗi qua nhiều giai đoạn mã hóa sử dụng thuật toán ChaCha20. Cửa hậu cuối cùng chạy hoàn toàn trong bộ nhớ, không để lại bất kỳ dấu vết nào trên đĩa cứng để các công cụ kiểm tra thiết bị đầu cuối có thể phát hiện.
Khi lỗ hổng bảo mật gửi dữ liệu về máy chủ điều khiển, toàn bộ lưu lượng điều khiển và chỉ huy đều được mã hóa bằng thuật toán AES-128-CBC, khiến chúng trông giống như hoạt động HTTPS thông thường. Các công cụ bảo vệ biên truyền thống chỉ ghi nhận việc người dùng mở một tài liệu và tạo ra lưu lượng web được mã hóa, và không có yếu tố nào trong chuỗi hành động đó kích hoạt cảnh báo.
Tập đoàn Lazarus đang vận hành các biến thể song song với các cơ chế mã hóa khác nhau: ChaCha20 trên một chuỗi và HC256 trên chuỗi khác, nhưng đều có chức năng cửa hậu giống hệt nhau. Một mẫu phát hiện được thiết kế cho một biến thể sẽ không phát hiện được biến thể còn lại. Đây chính là vấn đề cốt lõi khi chỉ dựa vào việc phát hiện. Những kẻ tấn công đang thiết kế các gói mã độc của mình một cách có chủ đích để lách qua hệ thống phát hiện này.
Ngăn chặn phần mềm độc hại trước khi nó được thực thi
Vậy phải làm gì khi đối mặt với một mối đe dọa được thiết kế đặc biệt để lẩn tránh sự phát hiện? Một phương án là bổ sung thêm các lớp phát hiện, thêm các bộ máy quét, thêm các mẫu chữ ký và thêm các quy tắc hành vi. Điều đó có tác dụng, nhưng những kẻ tấn công đã và đang thiết kế phần mềm độc hại để lẩn tránh mô hình đó. Phương án còn lại là bắt đầu loại bỏ những yếu tố khiến một tệp tin trở nên nguy hiểm. Đó chính là logic hoạt động đằng sau các công nghệ OPSWAT.
Mọi tệp tin được đưa vào hệ thống, dù qua email hay phương tiện lưu trữ di động, đều được xử lý trước tiên bằng Multiscanning Metascan™ Multiscanning. Tệp tin sẽ được quét song song bằng hơn 30 công cụ chống phần mềm độc hại, kết hợp giữa phương pháp phát hiện dựa trên chữ ký với phân tích heuristic và học máy. Trong trường hợp một công cụ duy nhất có thể bỏ sót một biến thể mới của Comebacker, thì xác suất cả hơn 30 công cụ đều bỏ sót biến thể đó sẽ giảm đáng kể.
Tuy nhiên, dù phạm vi phát hiện có rộng đến đâu, nó vẫn phụ thuộc vào việc nhận diện các yếu tố độc hại. Công nghệ Deep CDR™ không cố gắng xác định nội dung độc hại. Thay vào đó, công nghệ này loại bỏ các điều kiện cho phép nội dung độc hại được thực thi. Lớp phòng ngừa này loại bỏ các thành phần hoạt động khỏi tệp tin, chẳng hạn như macro, tập lệnh, tệp thực thi nhúng và các đối tượng ẩn. Sau đó, nó tái tạo một phiên bản tài liệu sạch và có thể sử dụng được. Quá trình này hoạt động trên hơn 200 loại tệp tin và hoàn tất chỉ trong vài mili giây.
Công nghệ Deep CDR™ trong chiến thuật tấn công kiểu Comebacker
Trước khi có công nghệ Deep CDR™ | Sau công nghệ Deep CDR™ |
|---|---|
| Các macro VBA kích hoạt chuỗi trình tải | Đã loại bỏ các macro |
| Tệp thực thi nhúng giải nén tải trọng nhiều giai đoạn | Tệp thực thi đã bị xóa |
| Nội dung tài liệu giả (văn bản, định dạng, hình ảnh) | Tệp thực thi đã bị xóa |
Nhờ công nghệ này, các thành phần nguy hiểm được loại bỏ, trong khi nội dung hữu ích vẫn được giữ nguyên. Trình tải (loader), các giai đoạn mã hóa cũng như cửa hậu trong bộ nhớ (in-memory backdoor) đều không thể thực thi. Tuy nhiên, không phải tệp nào cũng có thể được làm sạch. Các tệp thực thi, trình cài đặt và một số tài liệu được quy định cụ thể phải được giữ nguyên vẹn, đặc biệt là trong cơ sở hạ tầng trọng yếu hàng không vũ trụ, quốc phòng và cơ sở hạ tầng trọng yếu . Đối với những tệp này, cần áp dụng một phương pháp kiểm tra khác.
Phát hiện các mối đe dọa dựa trên tệp có tính lẩn tránh mà không thể khử trùng
Đối với các tệp cần được xử lý nguyên vẹn,Sandbox Adaptive Sandbox MetaDefender Sandbox phân tích hành vi thông qua cơ chế phát hiện mối đe dọa dựa trên mô phỏng. Thay vì dựa vào các chữ ký hoặc kiểm tra tĩnh, tính năng này quan sát cách tệp hoạt động trong quá trình thực thi để phát hiện các hoạt động độc hại tiềm ẩn.
Phân tích của ENKI cho thấy Nhóm Lazarus đã tích hợp khả năng nhận biết môi trường vào phần mềm độc hại của mình, thông qua các kỹ thuật kích hoạt chậm và né tránh nhằm phát hiện và vượt qua các máy ảo. Thay vì khởi động một máy ảo hoàn chỉnh, Adaptive Sandbox mô phỏng quá trình thực thi ở cấp độ lệnh, cho phép phân tích diễn ra mà không để lại dấu vết mà phần mềm độc hại có thể phát hiện.
Sandboxing dựa trên máy ảo so với sandboxing dựa trên mô phỏng
Môi trường cách ly dựa trên máy ảo | Sandbox Adaptive dựa trên mô phỏng |
|---|---|
| Có thể phát hiện được thông qua các kiểm tra chống VM | Năng suất hạn chế trong các môi trường có khối lượng công việc lớn |
| Các phán quyết tốn nhiều nguồn lực và mất nhiều thời gian | Hiệu quả gấp tới 10 lần Kết quả chỉ trong vài giây |
| Các phán quyết tốn nhiều nguồn lực và mất nhiều thời gian | Vượt qua các cơ chế chống VM, chống gỡ lỗi và né tránh dựa trên thời gian mà không cần điều chỉnh thủ công |
| Năng suất hạn chế trong các môi trường có khối lượng công việc lớn | Được thiết kế để phân tích tệp với năng suất cao |
Trong quá trình phân tích, Adaptive Sandbox các hành vi khi chạy như hoạt động của hệ thống tệp, các nỗ lực chèn vào tiến trình, thay đổi sổ đăng ký và giao tiếp mạng. Đây là các mẫu hành vi mà chuỗi trình tải của Comebacker tạo ra: lối tắt duy trì trong thư mục Khởi động, việc thực thi rundll32 và việc gửi tín hiệu C2 được mã hóa.
Adaptive Sandbox giải nén các gói dữ liệu nhiều lớp và phát hiện các chỉ số mối đe dọa (IOC) ẩn mà các công cụ dựa trên chữ ký không bao giờ phát hiện được. Các kết quả được đối chiếu với các kỹ thuật trong khung MITRE ATT&CK và được tích hợp trở lại nền tảng dưới dạng thông tin tình báo mối đe dọa có thể hành động, giúp đưa ra quyết định nhanh chóng hơn và tăng cường hiệu quả trong việc truy tìm mối đe dọa.
Giải quyết "Kim tự tháp đau đớn" bằng công nghệ phát hiện thống nhất
Quá trình phát triển của Comebacker hoàn toàn phù hợp với “Kim tự tháp Đau đớn” (Pyramid of Pain) – một khung tham chiếu xếp hạng các chỉ số đe dọa dựa trên mức độ tốn kém khi kẻ tấn công muốn thay đổi chúng, từ các hàm băm ở dưới cùng (rất dễ thay đổi) đến các phương thức, kỹ thuật và quy trình (TTPs) ở trên cùng (yêu cầu nỗ lực phát triển lớn để viết lại). Nhóm Lazarus đã thay đổi các chỉ số dễ thay đổi trong mọi chiến dịch Comebacker được biết đến kể từ năm 2021.
Người trở lại được gắn với Kim tự tháp của nỗi đau
Thang đo mức độ đau | Ví dụ về Comebacker |
|---|---|
| Giá trị băm | Mỗi giai đoạn dropper và loader đều có mã băm SHA256 riêng biệt |
| Địa chỉ IP / Tên miền | Các tên miền C2 được luân phiên sử dụng giữa các chiến dịch: hiremployee[.]com, birancearea[.]com. Hạ tầng trung gian được lưu trữ trên office-theme[.]com |
| Các thành phần mạng/máy chủ | Lưu lượng C2 được mã hóa bằng AES-128-CBC thay thế cho các giao tiếp dạng văn bản thuần túy trước đó; các lối tắt duy trì được ghi vào thư mục Khởi động |
| Công cụ | Sự phát triển của thuật toán mã hóa từ RC4 sang HC256 rồi đến ChaCha20 qua các giai đoạn của trình tải; thuật toán XOR/hoán đổi bit tùy chỉnh trong trình thả |
| TTP | Tấn công spear phishing bằng tài liệu chứa mã độc (T1566.001), tải mã phản xạ (T1620), tín hiệu C2 được mã hóa (T1573.001), thực thi tệp nhị phân hệ thống qua proxy bằng rundll32 (T1218.011) |
Các hàng dưới cùng có thể khiến Tập đoàn Lazarus mất hàng giờ hoặc hàng ngày để thay đổi; việc viết lại kiến trúc trình tải và các mẫu thực thi sẽ tốn nhiều thời gian hơn đáng kể. Một chiến lược phát hiện chỉ tập trung vào các hàng dưới cùng chính là chơi theo cách mà nhóm này muốn bạn chơi. Mỗi khi bạn tạo một chữ ký cho một khóa ChaCha20, chúng lại tạo ra một khóa khác.
Từ Sandbox Hệ thống phát hiện thống nhất
Phần trước đã trình bày cách Adaptive Sandbox hành vi trong quá trình chạy của Comebacker. MetaDefender mở rộng khả năng này thành một quy trình thống nhất nhằm giải quyết toàn bộ “Kim tự tháp đau đớn”, xử lý từng tệp qua bốn lớp ngày càng sâu hơn.
Tầng 1, Đánh giá mức độ nguy hiểm: Kiểm tra các giá trị băm tệp, địa chỉ IP và tên miền dựa trên hơn 50 tỷ chỉ số. Cơ sở hạ tầng của Comebacker đã được xác định và các mẫu đã từng xuất hiện trước đây sẽ bị chặn ngay lập tức.
Lớp 2, Phân tích động: Chuyển các mẫu chưa biết lên hệ thống mô phỏng cấp lệnhSandbox Adaptive Sandbox, từ đó phơi bày các chuỗi trình tải đa giai đoạn, các quy trình giải mã và quá trình thực thi rundll32. Các chỉ số IOC mới phát hiện sẽ tự động được phản hồi về Lớp 1, giúp tăng cường khả năng phát hiện đối với các tệp tiếp theo.
Lớp 3, Đánh giá mức độ đe dọa: Phân tích mối tương quan giữa các tín hiệu hành vi và gán một điểm số rủi ro dựa trên mức độ tin cậy, trong đó xem xét các cơ chế duy trì hoạt động, việc chèn mã vào quy trình và hoạt động của máy chủ điều khiển (C2). Đây chính là nơi các tín hiệu liên lạc được mã hóa gửi đến máy chủ C2 của Comebacker bị phát hiện, bất kể thuật toán mã hóa nào được sử dụng.
Tầng 4, Tìm kiếm mối đe dọa: Sử dụng công nghệ tìm kiếm dựa trên độ tương đồng bằng học máy trên hơn 100 triệu mẫu đã được phân tích để xác định mối liên hệ giữa biến thể năm 2025 với các chiến dịch Comebacker năm 2021 và 2024, mặc dù phương thức mã hóa đã thay đổi hoàn toàn. Việc buộc Nhóm Lazarus phải từ bỏ kiến trúc trình tải và mô hình thực thi của mình là một hình thức gây áp lực hoàn toàn khác biệt so với việc truy tìm các giá trị băm tệp mới.
Tích hợp trí tuệ trước khi thực thi với công nghệ AI dự đoán Alin
Không phải tệp nào cũng cần phân tích hành vi toàn diện. Trong các môi trường có khối lượng dữ liệu lớn, việc gửi mọi tệp không xác định vào hộp cát sẽ gây áp lực lên hiệu suất xử lý. Công nghệ Predictive Alin AI OPSWAT giải quyết vấn đề này bằng cách hoạt động như một lớp phân tích thông minh trước khi thực thi.
Alin AI dự đoán sử dụng học máy để phân tích các chỉ số cấu trúc và hành vi của các tệp thực thi mà không cần kích hoạt. Kết quả phân tích được đưa ra trong vòng dưới 100 mili giây ở mức P99. Các thử nghiệm ban đầu cho thấy tỷ lệ phát hiện đạt 90% đối với các tệp thực thi, với tỷ lệ báo động sai là 0,1%. Hệ thống này hoạt động cả trực tuyến lẫn ngoại tuyến với hiệu suất như nhau, giúp nó có thể được triển khai trong các môi trường cách ly mạng (air-gapped) – nơi các mối đe dọa kiểu Comebacker gây ra hậu quả nghiêm trọng nhất.
2 Năng lực then chốt
- Dự đoán lỗ hổng zero-day: Công nghệ AI dự đoán Alin phát hiện các mối đe dọa chưa từng được ghi nhận mà các công cụ dựa trên chữ ký không thể phát hiện, đồng thời đánh giá các định dạng tệp thực thi có rủi ro cao (PE, ELF, Mach-O và PDF) trước khi chúng được thực thi. Việc mở rộng phạm vi hỗ trợ các loại tệp đang nằm trong kế hoạch phát triển.
- Giảm tải cho môi trường sandbox: Các tệp mà bộ máy phát hiện là an toàn với độ tin cậy cao sẽ được xử lý mà không cần phân tích trong môi trường sandbox. Các tệp bị đánh dấu sẽ được ưu tiên đưa vào quy trình phân tích bốn lớp đầy đủ MetaDefender , từ đó tiết kiệm dung lượng của môi trường sandbox cho những tệp thực sự cần được kiểm tra hành vi sâu.
Bảo vệ cổng email trước khi các mối đe dọa xâm nhập vào hộp thư đến
Email chính là con đường xâm nhập của Comebacker. Các tài liệu mồi nhử được thiết kế để xuất hiện trong hộp thư đến và được người dùng mở ra. Nếu tệp đính kèm chứa mã độc không bao giờ đến được hộp thư, chuỗi lây nhiễm sẽ không bao giờ bắt đầu. MetaDefender Cloud ™ tích hợp với Microsoft 365 và Google Workspace để quét và khử trùng các tin nhắn trước khi chúng đến tay người dùng. Giải pháp này hoạt động song song với luồng thư, có nghĩa là các mối đe dọa sẽ bị chặn lại trước khi được chuyển đến người nhận.
Bảo vệ 3 lớp
- Tệp đính kèm: Các tệp được xử lý thông qua công nghệ Metascan™ Multiscanning Deep CDR™. Một tệp .docx của Comebacker có chứa macro VBA sẽ được tách các macro ra và xây dựng lại trước khi người nhận nhìn thấy nó.
- Liên kết: Các URL được phân tích và viết lại để chặn các trang lừa đảo và các chuyển hướng điều khiển từ xa.
- Áp dụng chính sách: Các tin nhắn đáng ngờ sẽ tự động bị cách ly, làm sạch hoặc chuyển lên cấp trên dựa trên các quy tắc của tổ chức.
Đối với các đội ngũ an ninh, tác động là ngay lập tức. Số lượng email độc hại đến tay người dùng giảm đồng nghĩa với việc có ít cảnh báo hơn, ít cuộc điều tra hơn và ít thời gian dành cho việc khắc phục sự cố hơn. Điều này giúp các đội ngũ tập trung vào các mối đe dọa có mức độ ưu tiên cao hơn.
Bảo vệ Media di động Media mạng cách ly hoàn toàn
USB và đĩa di động đóng vai trò là cầu nối giữa các hệ thống bên ngoài và mạng điều khiển, khiến mỗi tệp tin được truyền tải đều trở thành một điểm xâm nhập tiềm ẩn. MetaDefender và MetaDefender Media thiết lập các điểm kiểm soát an toàn tại các ranh giới này.
Trước khi bất kỳ tệp nào từ phương tiện lưu trữ di động được đưa vào môi trường nhạy cảm, tệp đó sẽ được quét và làm sạch công nghệ Metascan™ Multiscanning Deep CDR™. Điều này giúp áp dụng cùng cơ chế bảo vệ được sử dụng tại cổng email cho các phương tiện lưu trữ vật lý. Một tài liệu độc hại dựa trên các macro nhúng hoặc tải trọng được kích hoạt theo từng giai đoạn sẽ bị vô hiệu hóa trước khi có thể xâm nhập vào hệ thống đích.
Môi trường vận hành đặt ra một thách thức nữa: sự đa dạng về phương tiện lưu trữ. Thiết bị kiosk hỗ trợ hơn 20 loại phương tiện lưu trữ, bao gồm USB, USB, thẻ SD, đĩa quang và các định dạng cũ, đảm bảo việc áp dụng chính sách nhất quán ngay cả khi các công nghệ cũ vẫn còn được sử dụng.
Chính việc thực thi mới là yếu tố quyết định hiệu quả của giải pháp này. Ngay khi một tệp tin vượt qua quá trình kiểm tra, nó sẽ được cấp một chữ ký số. Trình Media Agent) OPSWAT, được cài đặt trên các thiết bị đầu cuối, sẽ chặn mọi phương tiện lưu trữ di động không có chữ ký này. Một USB chưa được quét sẽ không thể hoạt động.
Các chính sách tập trung giúp liên kết toàn bộ quy trình lại với nhau. MetaDefender thực thi các quy tắc cách ly, hạn chế thiết bị và ghi nhật ký kiểm toán trên tất cả các quy trình xử lý phương tiện, đảm bảo rằng mọi tệp tin đi vào môi trường cách ly đều được kiểm tra, xác thực và ghi lại. Đối với các tổ chức hoạt động theo các yêu cầu của NERC CIP, NIST 800-53 hoặc ISA/IEC, mức độ kiểm soát này là rất cần thiết. Nó cung cấp bằng chứng có thể xác minh được rằng mọi tệp tin đi vào môi trường đều đã được kiểm tra và cho phép.
Phòng ngừa thống nhất trên mọi ranh giới tệp
Các công nghệ được đề cập trong các phần trước, bao gồm quét đa lớp, Công nghệ Deep CDR™, môi trường cách ly, bảo mật email và chế độ kiosk, sẽ phát huy hiệu quả tối đa khi hoạt động trong một khung chính sách thống nhất.MetaDefender chính là nền tảng đảm bảo điều đó.
Nền tảng này tập trung quản lý các chính sách, dữ liệu theo dõi và việc thực thi tại mọi điểm nhập tệp, từ các cổng email trên đám mây đến các điểm kiểm tra phương tiện lưu trữ di động và các giao dịch truyền tải qua mạng. Thay vì quản lý từng biện pháp kiểm soát một cách riêng lẻ, các đội ngũ an ninh chỉ cần định nghĩa các quy tắc xử lý tệp một lần và áp dụng chúng một cách nhất quán trên mọi nền tảng.
3 quy trình làm việc quan trọng được hỗ trợ bởi MetaDefender Core
- Chính sách tệp nhất quán: Các quy tắc quét và làm sạch giống nhau sẽ được áp dụng bất kể tệp đó được đưa vào môi trường bằng cách nào.
- Khắc phục tự động: Sandbox và dữ liệu danh tiếng sẽ tự động kích hoạt các quyết định chặn, cách ly hoặc giải phóng mà không cần can thiệp thủ công.
- Tuân thủ và sẵn sàng cho công tác điều tra: Các chỉ số mối đe dọa (IOCs) và nhật ký kiểm toán được xuất sang các nền tảng SIEM để phục vụ việc lập báo cáo và điều tra.
Cách tiếp cận thống nhất này giúp lấp đầy những lỗ hổng giữa các biện pháp kiểm soát riêng lẻ. Kết quả kiểm tra trong môi trường sandbox đối với một tệp đáng ngờ tại một ranh giới có thể ngay lập tức tác động đến cách xử lý các tệp tương tự tại các ranh giới khác. Kết quả mang lại là khả năng phát hiện nhanh hơn, giảm tải công việc cho các chuyên gia phân tích và hạn chế cơ hội cho các tệp độc hại lọt qua những lỗ hổng do thiếu sự phối hợp.
Đảm bảo rằng Comebacker sẽ không bao giờ quay lại
Tập đoàn Lazarus sẽ tiếp tục cải tiến các phương thức mã hóa, chuỗi trình tải và phương thức phân phối của mình, nhưng điều mà chúng không thể dễ dàng thay đổi chính là việc vẫn phải dựa vào tệp tin làm điểm xâm nhập. MetaDefender thực thi các biện pháp phòng ngừa tại mọi điểm tiếp xúc với tệp tin, bao gồm email, phương tiện lưu trữ di động và các giao dịch qua mạng.
Công nghệ Multiscanning Deep CDR™ vô hiệu hóa các mối đe dọa trước khi chúng được thực thi. Quy trình phát hiện bốn lớp MetaDefender giúp xác định những mối đe dọa không thể làm sạch an toàn, hoạt động trên toàn bộ mô hình “Pyramid of Pain” và tạo ra thông tin tình báo giúp củng cố hệ thống phòng thủ qua từng lần phân tích.
Giải pháp Alin AI dự đoán mở rộng khả năng phân tích thông minh này ra đến vùng biên, chặn các lỗ hổng zero-day được dự đoán chỉ trong vài mili giây và dành dung lượng hộp cát cho những tệp thực sự cần thiết. MetaDefender Core các biện pháp kiểm soát này hoạt động trong một khung chính sách thống nhất.
Đối với Comebacker và các đợt tấn công tiếp theo, vấn đề thực sự không phải là liệu hệ thống phòng thủ của bạn có thể phát hiện biến thể mới nhất hay không, mà là liệu một tệp tin độc hại có thể tiếp cận người dùng ngay từ đầu hay không. Để tìm hiểu cách OPSWAT giúp triển khai các biện pháp phòng ngừa trên toàn bộ môi trường của bạn, hãy liên hệ với chuyên gia của chúng tôi.
