እንኳን ወደ አዲስ ተከታታይ መጣጥፎች በደህና መጡ፣ በዚህ ጊዜ ስለ ክስተት ምርመራ፣ ማለትም የCheck Point forensicsን በመጠቀም የማልዌር ትንተና። ቀደም ብለን አትመናል።
የአደጋ መከላከል ፎረንሲክስ ለምን አስፈላጊ ነው? ቫይረሱን እንደያዛችሁት ይመስላል፣ ቀድሞውንም ጥሩ ነው፣ ለምንድነው ያጋጠመው? እንደ ልምምድ እንደሚያሳየው ጥቃትን ለመከልከል ብቻ ሳይሆን በትክክል እንዴት እንደሚሰራ ለመረዳትም ጠቃሚ ነው-የመግቢያ ነጥቡ ምን እንደነበረ, ምን ዓይነት ተጋላጭነት ጥቅም ላይ እንደዋለ, ምን አይነት ሂደቶች እንደሚሳተፉ, የመመዝገቢያ እና የፋይል ስርዓቱ ተጎድቷል, የትኛው ቤተሰብ ነው. የቫይረሶች, ምን ሊሆኑ የሚችሉ ጉዳቶች, ወዘተ. ይህ እና ሌላ ጠቃሚ መረጃ ከCheck Point's comprehensive forensics ሪፖርቶች (ፅሁፍ እና ስዕላዊ) ማግኘት ይቻላል። እንዲህ ዓይነቱን ሪፖርት በእጅ ማግኘት በጣም ከባድ ነው. ይህ መረጃ ተገቢውን እርምጃ ለመውሰድ እና ለወደፊቱ ተመሳሳይ ጥቃቶች እንዳይሳካ ለመከላከል ይረዳል. ዛሬ የCheck Point SandBlast Network forensics ሪፖርትን እንመለከታለን።
SandBlast አውታረ መረብ
የአውታረ መረብ ፔሪሜትር ጥበቃን ለማጠናከር የአሸዋ ሳጥኖችን መጠቀም ከረጅም ጊዜ በፊት የተለመደ እና እንደ IPS የግዴታ አካል ነው. በቼክ ፖይንት፣ የአሸዋ ብላስት ቴክኖሎጂዎች አካል የሆነው የዛቻ ኢምሌሽን ምላጭ (እንዲሁም ዛቻ ማውጣት አለ) ለማጠሪያው ተግባር ተጠያቂ ነው። አስቀድመን አትመናል።
- የአሸዋ ብላስት የአካባቢ መገልገያ — ተጨማሪ የ SandBlast መሳሪያ በአውታረ መረብዎ ላይ ተጭኗል፣ ይህም ፋይሎች ለመተንተን ይላካሉ።
- የአሸዋ ብላስ ደመና - ፋይሎች ለመተንተን ወደ ቼክ ነጥብ ደመና ይላካሉ።
ማጠሪያው በኔትወርክ ፔሪሜትር የመጨረሻው የመከላከያ መስመር ተደርጎ ሊወሰድ ይችላል. በጥንታዊ ዘዴዎች ከመተንተን በኋላ ብቻ ይገናኛል - ፀረ-ቫይረስ ፣ አይፒኤስ። እና እንደዚህ አይነት ባህላዊ የፊርማ መሳሪያዎች ምንም አይነት ትንታኔዎችን ካልሰጡ, ማጠሪያው ፋይሉ ለምን እንደታገደ እና ምን እንደሚሰራ በዝርዝር "መናገር" ይችላል. ይህ የፎረንሲክስ ሪፖርት ከአካባቢያዊ እና ከደመና ማጠሪያ ሊገኝ ይችላል።
የፍተሻ ነጥብ ፎረንሲክስ ሪፖርት
እንበል እርስዎ የኢንፎርሜሽን ደህንነት ባለሙያ እንደመሆንዎ መጠን ወደ ሥራ መጥተው በSmartConsole ውስጥ ዳሽቦርድ ከፈቱ። ወዲያውኑ ባለፉት 24 ሰዓታት ውስጥ ክስተቶችን ታያለህ እና ትኩረትህ ወደ አስጊ ኢሙሌሽን ክስተቶች ይሳባል - በፊርማ ትንተና ያልተከለከሉ በጣም አደገኛ ጥቃቶች።
በነዚህ ክስተቶች ውስጥ "መቆፈር" እና ሁሉንም የአስጊ ሁኔታ ማስመሰል ምዝግብ ማስታወሻዎችን ማየት ይችላሉ።
ከዚህ በኋላ መዝገቦቹን በአስጊ ደረጃ (ከባድነት) እና በራስ መተማመን ደረጃ (የምላሽ አስተማማኝነት) ማጣራት ይችላሉ፡
የምንፈልገውን ክስተት ካሰፋን በኋላ ከአጠቃላይ መረጃ (src፣dst፣ከባድነት፣ላኪ፣ወዘተ) ጋር መተዋወቅ እንችላለን።
እና እዚያ ክፍሉን ማየት ይችላሉ ፎረንሲክስ የሚገኝ ጋር ማጠቃለያ ሪፖርት አድርግ። እሱን ጠቅ ማድረግ የማልዌር ዝርዝር ትንታኔን በይነተገናኝ HTML ገጽ መልክ ይከፍታል።
(ይህ የገጹ አካል ነው።
ከተመሳሳይ ዘገባ፣ ዋናውን ማልዌር (በይለፍ ቃል በተጠበቀ ማህደር ውስጥ) ማውረድ እንችላለን ወይም ወዲያውኑ የቼክ ነጥብ ምላሽ ቡድንን ያግኙ።
ልክ ከዚህ በታች የኛን ምሳሌ የሚያውቁትን ተንኮል-አዘል ኮድ (ኮዱን እራሱ እና ማክሮዎችን ጨምሮ) በመቶኛ ደረጃ የሚያሳይ የሚያምር እነማ ማየት ይችላሉ። እነዚህ ትንታኔዎች የሚቀርቡት የማሽን ትምህርትን በመጠቀም በCheck Point Threat Cloud ውስጥ ነው።
ከዚያ ይህ ፋይል ተንኮል አዘል ነው ብለን እንድንደመድም በማጠሪያው ውስጥ ምን አይነት እንቅስቃሴዎች እንደፈቀዱ በትክክል ማየት ይችላሉ። በዚህ አጋጣሚ የማለፊያ ቴክኒኮችን መጠቀም እና ራንሰምዌርን ለማውረድ መሞከሩን እናያለን፡-
በዚህ ሁኔታ ማስመሰል በሁለት ስርዓቶች (Win 7, Win XP) እና በተለያዩ የሶፍትዌር ስሪቶች (ኦፊስ, አዶቤ) ውስጥ መደረጉን ልብ ሊባል ይችላል. ይህን ፋይል በማጠሪያ ሳጥን ውስጥ የመክፈት ሂደት ያለው ቪዲዮ (ስላይድ ትዕይንት) ከዚህ በታች አለ።
ቪዲዮ ምሳሌ፡-
መጨረሻ ላይ ጥቃቱ እንዴት እንደዳበረ በዝርዝር ማየት እንችላለን። በሰንጠረዥ ወይም በግራፊክ መልክ፡-
እዚያም ይህንን መረጃ በ RAW ቅርጸት እና በፒካፕ ፋይል በWireshark ውስጥ ለሚፈጠረው ትራፊክ ዝርዝር ትንታኔ ማውረድ እንችላለን፡-
መደምደሚያ
ይህንን መረጃ በመጠቀም የአውታረ መረብዎን ጥበቃ በከፍተኛ ሁኔታ ማጠናከር ይችላሉ. የቫይረስ ማከፋፈያ አስተናጋጆችን አግድ፣ የተበዘበዙ ተጋላጭነቶችን ይዝጉ፣ ከC&C ሊመጣ የሚችለውን ግብረመልስ ያግዱ እና ሌሎችም። ይህ ትንታኔ ችላ ሊባል አይገባም.
በሚቀጥሉት መጣጥፎች ውስጥ፣ በተመሳሳይ መልኩ የSandBlast Agent፣ SnadBlast Mobile፣ እና CloudGiard SaaS ሪፖርቶችን እንመለከታለን። ስለዚህ ይጠብቁ (
ምንጭ: hab.com