Phát hiện mối đe dọa cấp độ tiếp theo từ OPSWAT Công nghệ

Phát hiện tệp tùy chỉnh, trung hòa mã QR dựa trên ASCII, kiểm tra sâu tệp PCAP

Apr 28, 2025 bằng cách Stella Nguyen, Trưởng phòng Tiếp thị Sản phẩm

Chia sẻ bài viết này

Khi các mối đe dọa mạng tiếp tục phát triển, kẻ tấn công đang tìm ra những cách mới để tránh bị phát hiện thông qua các loại tệp không thông thường, nội dung độc hại được nhúng và các phương thức tấn công mới. OPSWAT Các cải tiến bảo mật mới nhất của đưa khả năng phát hiện mối đe dọa lên một tầm cao mới, cung cấp cho các tổ chức các công cụ mạnh mẽ để phân tích, phân loại và vô hiệu hóa các mối đe dọa với độ chính xác cao hơn. Từ phát hiện loại tệp tùy chỉnh đến kiểm tra sâu PCAP (chụp gói tin mạng), các nâng cấp này đảm bảo các nhóm bảo mật luôn đi trước các rủi ro mới nổi.

Phát hiện loại tệp

Xác định các quy tắc tùy chỉnh

Các tổ chức thường gặp phải các tệp ở định dạng độc đáo hoặc độc quyền mà các công cụ tiêu chuẩn không thể nhận dạng ngay lập tức. Việc chờ đợi các bản sửa lỗi do nhà cung cấp cung cấp có thể làm đình trệ quy trình làm việc, khiến các nhóm không chắc chắn liệu có nên chặn các tệp này (có nguy cơ gián đoạn) hay cho phép chúng (có nguy cơ bị lộ).

Công cụ Phát hiện Loại tệp giải quyết vấn đề này bằng cách phát hiện loại tệp dựa trên quy tắc tùy chỉnh, cho phép các tổ chức xác định logic phân loại riêng cho các tệp không được nhận dạng.

Xác định tiêu chí của riêng bạn (ví dụ: tiêu đề, phần mở rộng hoặc mẫu byte) để phân loại các định dạng không được hỗ trợ.
Hành động ngay lập tức—không cần phải chờ cập nhật.
Cân bằng giữa bảo mật và năng suất bằng cách điều chỉnh các quy tắc theo chính sách xử lý tệp cụ thể của tổ chức bạn.

Ảnh chụp màn hình minh họa phát hiện loại tệp tùy chỉnh để phát hiện mối đe dọa nâng cao với OPSWAT

Điều này giúp bạn kiểm soát lại mọi thứ, đảm bảo ngay cả các loại tệp chuyên biệt hoặc mới cũng phù hợp với quy trình làm việc của bạn.

Tìm hiểu thêm về Phát hiện tùy chỉnh

Deep CDR ^™

Cung cấp "Lý do hành động"

Tài liệu hiện đại không chỉ là văn bản và hình ảnh—mà còn chứa siêu dữ liệu, đối tượng nhúng và thậm chí cả các tập lệnh ẩn có thể đóng vai trò là vectơ tấn công. Trong khi macro được công nhận rộng rãi là mối đe dọa nguy hiểm, các mối đe dọa tinh vi hơn như thuộc tính tài liệu, tham chiếu mẫu hoặc mã QR được nhúng trong các tệp Office cũ thường tránh được sự giám sát.

Ảnh chụp màn hình minh họa việc vệ sinh tài liệu và tính minh bạch của 'Lý do hành động' trong việc phát hiện mối đe dọa

Deep CDR hiện cung cấp các giải thích chi tiết về “Lý do hành động”, giúp các nhóm bảo mật hiểu lý do tại sao các thành phần cụ thể được khử trùng. Tính minh bạch này rất quan trọng đối với việc tuân thủ, phân tích pháp y và sự tin tưởng của người dùng.

Phát hiện mã QR dựa trên ASCII

Các tác nhân đe dọa liên tục đổi mới để tránh bị phát hiện. Một chiến thuật mới nổi liên quan đến việc nhúng mã QR độc hại ở định dạng ASCII. Các mã QR này, khi được quét, có thể dẫn đến các trang web lừa đảo hoặc tải xuống độc hại.

Mã QR dựa trên ASCII để phát hiện và vô hiệu hóa nhằm ngăn ngừa mối đe dọa

Deep CDR hiện nay có thể phát hiện và vô hiệu hóa mã QR được mã hóa ASCII, giảm thiểu phương thức tấn công mới này trước khi nó có thể bị khai thác.

Tìm hiểu thêm về Vệ sinh mã QR

Vệ sinh đệ quy dữ liệu JSON được mã hóa theo Base64

Một cải tiến quan trọng khác là kiểm tra sâu dữ liệu JSON được mã hóa Base64. Kẻ tấn công ngày càng nhúng các tải trọng độc hại vào các chuỗi được mã hóa trong API phản hồi hoặc tệp cấu hình.

Ảnh chụp màn hình minh họa quá trình khử trùng đệ quy dữ liệu JSON được mã hóa Base64 để phát hiện mối đe dọa

Deep CDR hiện bao gồm chức năng vệ sinh đệ quy cho nội dung JSON được mã hóa Base64, đảm bảo rằng:

Dữ liệu được mã hóa Base64 được giải mã.
Nội dung được trích xuất sẽ được khử trùng.
Dữ liệu đã khử trùng được mã hóa lại theo Base64 và chèn lại vào cấu trúc JSON.

Quá trình này đảm bảo không có mối đe dọa nào được nhúng trong các tệp dữ liệu có cấu trúc.

Tìm hiểu thêm về Dữ liệu được mã hóa Base64 trong JSON

Trích xuất lưu trữ

Trích xuất và kiểm tra các tập tin PCAP

Các gói tin mạng (tệp PCAP) là một mỏ vàng cho các nhà điều tra pháp y, nhưng chúng cũng là điểm mù đối với nhiều giải pháp bảo mật. Các công cụ truyền thống thường coi PCAP là các vùng chứa mờ đục, bỏ qua lưu lượng HTTP, FTP hoặc IMAP được nhúng bên trong. Sự giám sát này cho phép kẻ tấn công đánh cắp dữ liệu hoặc phân phối phần mềm độc hại thông qua các nhật ký mạng có vẻ vô hại.

Ảnh chụp màn hình minh họa việc trích xuất và kiểm tra tệp PCAP để phát hiện mối đe dọa nâng cao

Archive Engine hiện trích xuất và kiểm tra tất cả các gói tin trong các tệp PCAP, áp dụng cùng một phân tích nghiêm ngặt như các tệp độc lập. Bằng cách tái tạo các phiên mạng và kiểm tra các tải trọng đã trích xuất, các nhóm bảo mật có thể phát hiện:

Tải xuống phần mềm độc hại
Những nỗ lực đánh cắp dữ liệu
Truyền thông chỉ huy và kiểm soát

Ảnh chụp màn hình minh họa việc phát hiện phần mềm độc hại, rò rỉ dữ liệu và liên lạc C2 trong phân tích PCAP

Bật cấu hình linh hoạt thông qua tích hợp quy trình làm việc

Trước đây, một số tùy chọn cấu hình toàn cầu bị hạn chế ở cấp mô-đun. Với bản cập nhật này, các cấu hình chính đã được chuyển sang quy trình làm việc, cho phép:

Linh hoạt hơn trong việc xác định chính sách bảo mật.
Dễ dàng tùy chỉnh dựa trên nhu cầu của tổ chức.
Nâng cao hiệu quả trong việc quản lý triển khai bảo mật quy mô lớn.

Ảnh chụp màn hình minh họa cấu hình quy trình làm việc linh hoạt để quản lý chính sách bảo mật trong phát hiện mối đe dọa

Nâng cấp để đáp ứng nhu cầu của bạn

Các bản cập nhật mới nhất cho Deep CDR , File Type Verification và các công cụ Trích xuất Lưu trữ cung cấp cho các nhóm bảo mật quyền kiểm soát trực tiếp cách phân tích tệp, tài liệu và dữ liệu mạng, do đó các quyết định luôn bám sát bối cảnh, không phải phỏng đoán. Để tìm hiểu thêm hoặc xem các tính năng này hoạt động, hãy liên hệ OPSWAT Hôm nay.

Bắt đầu

Tags: