VMRay Analyzer

VMRay Analyzer ist das Kernprodukt für dynamische Malware Analyse

Viele Sicherheitsteams betrachten Malware-Sandboxing als Standardprodukt. Unsere Kunden sehen VMRay Analyzer als disruptive Technologie und erste Wahl für die automatisierte Malware-Analyse.

Beispiel für einen Standard-Sandbox-Workflow (technologieunabhängig)

Sandbox Basics
  • Datei wird ausgewählt und kommt in die virtuelle Umgebung
  • Während die Datei ausgeführt wird, überwacht VMRay das Verhalten
  • Als letzter Schritt folgt das Verdikt über die untersuchte Datei 

Sandbox Architektur

VMRay verwendet zusätzliche Technologien zur Erkennung von Malware

  • Reputationsanalyse
  • Statische Analyse

Die mehrschichtige NOW - NEAR - DEEP-Architektur von VMRay kombiniert Reputationsabgleich und statische Analyse mit führender Sandboxing-Technologie und bietet Sicherheitsteams umfassende Einblicke in das Malware-Verhalten und umsetzbare Bedrohungsinformationen für eine schnelle, genaue Reaktion auf Vorfälle, die Suche nach Bedrohungen und die Erkennung. VMRay hat einen innovativen, im Hypervisor eingebettete Monitoring-Ansatz entwickelt, der keinerlei Spuren in der Analyse-Umgebung (Sandbox) hinterlässt. Daher bleibt VMRay für die Malware unsichtbar, löst keine Verschleierungs- und Ausweichmechanismen aus und erkennt so auch evasive Bedrohungen.

NOW: Die erste Erkennungsebene ist die schnelle REPUTATION-Suche. VMRay vergleicht die zu analysierenden Files mit bekannten guten und schädlichen Dateien und URLs und filtert harmlose Files in Millisekunden heraus. Unbekannte und verdächtige Dateien werden in die nächste Stufe verschoben.

NEAR: Die zweite Detektionsebene ist die STATISCHE ANALYSE. Hier werden verdächtige und unbekannte Dateien untersucht, um aktive Elemente zu identifizieren und zu extrahieren, die auf eine Malware-Bedrohung hinweisen könnten (z. B. Skripte, Makros, URLs). Unschädliche Dateien werden freigegeben, und Sicherheitsteams können sich auf die Dateien konzentrieren, die einer eingehenderen Analyse bedürfen.

DEEP: Die dritte und letzte Schicht ist die DYNAMISCHE ANALYSE. Diese Ebene verwendet die einzigartige agentenlose, Hypervisor-basierte Technologie von VMRay.

Warum ist es wichtig, die drei Schichten zu haben?

Reputation:

  • Identifiziert bekannte Malware
  • Identifizierte Phasen von Malware, z. Skripte, URLs, Dateien werden wiederverwendet

Statische Engine:

  • Archive, Extrahieren von Anhängen usw. zur erneuten Übermittlung an Reputation werden ausgepackt

Dynamische Engine:

  • Identifiziert unbekannte / Zero-Day-Malware

Unterstützung von Triaging:

  • Die Massenanalyse wird beschleunigt
  • Durch Alert Validierung werden Threats mit hohem Schadpotential aufgezeigt

 Datenblatt VMRay Analyzer