在发现零日漏洞后，通过MetaDefender Managed File Transfer MFT）保障合作伙伴文件交换安全

对于这家欧洲医疗保健提供商而言，每天都有数千次传输通过老化的 SFTP 和 SMB 共享，而检查却少之又少。文件在传输过程中进行了加密，但在进入时却很少受到检查，仅依靠单一的防病毒扫描无法捕捉高级或零时差攻击。这就造成了一个危险的盲点：即使是来自可信合作伙伴的一个恶意文件，也可能暴露敏感的病人数据和操作系统。

除了外部合作伙伴的上传，另一个关键问题是医疗服务提供商的核心医疗信息系统（HCIS）。每天都有大量的临床和运营数据需要传输给交易合作伙伴，但这些数据流也缺乏自动化和安全控制，因此很容易面临同样的风险。

HIPAA 和 GDPR 的合规要求又增加了一层紧迫性：每一个未被发现的恶意文件不仅代表着安全风险，也代表着潜在的监管失败。其结果是，文件流在默认情况下被认为是安全的，但实际上仍然暴露在高级网络威胁之下。这一漏洞将患者记录、财务数据和关键操作系统暴露在风险之中，凸显了进行更深入的文件级检查的迫切需要。

在技术评估期间引入MetaDefender Managed File Transfer MFT）™（MFT）时，该医疗服务提供商将其连接至现有的SFTP和SMB文件夹。在概念验证过程中，MetaDefender Managed File Transfer MFT）自动对过去两周内存储的文件启动了安全文件传输与检查工作流。

当系统处理到前一天刚上传的文件时，意外发生了。这份名为"Accounting_Report_Q1.doc"的文件由可信供应商提交，此前已通过该组织的防病毒检测而未触发警报。然而当文件MetaDefender Managed File Transfer MFT）的自动化工作流处理，并在集成Sandbox中进行分析时，其真正的恶意本质才得以显现。

除沙箱分析外，Metascan™Multiscanning（一种将 30 多个反恶意软件引擎整合到一个强大安全层的OPSWAT 技术）也同时对该文件进行了交叉检查。它确认没有任何已知签名，这更加证实了这是一个真正的零时差恶意软件。

对用户来说，该文件看似正常，但其行为却说明了另一个问题。

• 直接在内存中解码经过混淆处理的 JavaScript shellcode
• 启动了一个可疑的进程链：winword.exe → cmd.exe → powershell.exe（Base64 命令）
• 文件尝试向不正常 IP 发送 HTTPS 连接
• 它下载了第二级有效载荷 (zz.ps1)
• 它试图枚举系统详细信息并写入临时目录

传统的静态扫描会忽略这一切。由于没有宏、没有已知签名，文件结构中也没有任何明显的恶意内容，因此该威胁仍然无法察觉。然而，MetaDefender Sandbox™ 自适应分析却标出了明显的红旗：

• DLL 注入模式
• 加工挖空
• 指挥与控制信标行为

结论：高风险零日多语言程序。

Managed File Transfer MFT）随后自动将该文件隔离，阻止了向标记IP的出站流量，并生成包含IOC（入侵指标）的完整沙箱报告。这些IOC被共享至安全运营中心（SOC）以进行深入追踪，同时更新了策略以隔离未来传输中的类似威胁。

该发现揭示了恶意文件已在共享文件夹中潜伏数日未被察觉，这对处理患者数据的环境而言是不可接受的风险。MetaDefender Managed File Transfer MFT）后，所有合作伙伴传输现均需经过多层检测：