Сардэчна запрашаем на новы цыкл артыкулаў, на гэты раз па тэме расследавання інцыдэнтаў, а менавіта - аналізу зловредов з дапамогай форензікі Check Point. Раней мы публікавалі па працы ў Smart Event, але на гэты раз мы разгледзім справаздачы фарэнзікі па канкрэтных падзеях у розных прадуктах Check Point:
Чаму важная фарэнзіка прадухіленых інцыдэнтаў? Здавалася б, злавіў вірус, ужо добра, навошта з ім разбірацца? Як паказвае практыка, атаку пажадана не проста блакаваць, але і разумець, як менавіта яна працуе: якая была кропка ўваходу, якая выкарыстоўвалася ўразлівасць, якія працэсы задзейнічаны, ці закранаецца рэестр і файлавая сістэма, якое сямейства вірусаў, якая патэнцыйная шкода і г.д . Гэтыя і іншыя карысныя дадзеныя можна атрымаць у вычарпальных справаздачах форензікі Check Point (як у тэкставым, так і графічным выглядзе). Атрымаць такую справаздачу ўручную вельмі цяжка. Затым гэтыя дадзеныя могуць дапамагчы прыняць патрэбныя меры і выключыць магчымасць поспеху падобных нападаў у будучыні. Сёння мы разгледзім справаздачу фарэнзікі Check Point SandBlast Network.
SandBlast Network
Выкарыстанне пясочніц, для ўзмацнення абароны перыметра сеткі, ужо даўно стала звычайнай справай і такім жа абавязковым кампанентам, як IPS. У Check Point за функцыянал пясочніцы адказвае блейд Threat Emulation, які і ўваходзіць у склад тэхналогій SandBlast (там жа ёсць яшчэ Threat Extraction). Мы ўжо публікавалі раней яшчэ для версіі Gaia 77.30 (вельмі рэкамендую да прагляду калі вы не разумееце пра што зараз ідзе гаворка). З пункту гледжання архітэктуры з таго часу прынцыпова нічога не змянілася. Калі ў вас на перыметры сеткі стаіць Check Point Gateway, то вы можаце выкарыстоўваць два варыянты інтэграцыі з пясочніцай:
- SandBlast Local Appliance - да вас у сетку ставіцца дадатковы SandBlast appliance, на які і адпраўляюцца файлы для аналізу.
- SandBlast Cloud - файлы адпраўляюцца на аналіз у воблака Check Point.
Пясочніцу можна лічыць апошняй мяжой абароны на перыметры сеткі. Яна падключаецца толькі пасля аналізу класічнымі сродкамі - антывірусам, IPS. І калі такія традыцыйныя сігнатурныя сродкі не даюць практычна ніякай аналітыкі, то пясочніца можа падрабязна "распавесці" чаму файл быў заблакаваны і што менавіта шкоднага ён робіць. Такую справаздачу форензікі можна атрымаць як ад лакальнай, так і ад хмарнай пясочніцы.
Check Point Forensics Report
Дапусцім вы, як ИБ адмысловец, дашлі на працу і адкрылі дашборд у SmartConsole. Тут жа вы бачыце інцыдэнты за апошнія 24 гадзіны і вашу ўвагу прыцягваюць падзеі Threat Emulation - найбольш небяспечныя атакі, якія не былі заблакаваныя сігнатурным аналізам.
Вы можаце “праваліцца” ў гэтыя падзеі (drill down) і паглядзець усе логі па блейдзе Threat Emulation.
Пасля гэтага можна дадаткова адфільтраваць логі па ўзроўні крытычнасці пагроз (Severity), а таксама па Confidence Level (надзейнасць спрацоўвання):
Расчыніўшы цікавую для нас падзею можна азнаёміцца з агульнай інфармацыяй (src, dst, severity, sender і г.д.):
І там жа можна заўважыць раздзел Судовая медыцына з даступным Рэзюмэ справаздачай. Націснуўшы на яго перад намі адкрыецца падрабязны разбор зловреда ў выглядзе інтэрактыўнай HTML старонкі:
(Гэта частка старонкі. )
З гэтай жа справаздачы мы можам спампаваць арыгінал зловреда (у запараленым архіве), альбо адразу звязацца з камандай рэагавання Check Point.
Крыху ніжэй можна ўбачыць прыгожую анімацыю, якая ў працэнтных суадносінах паказвае, з якім ужо вядомым шкоднасным кодам пераклікаецца наш асобнік (уключаючы сам код і макрасы). Гэтая аналітыка падаецца з ужываннем машыннага навучання ў воблаку Check Point Threat Cloud.
Затым можна паглядзець якія менавіта актыўнасці ў пясочніцы дазволілі зрабіць выснову аб шкоднасці гэтага файла. У дадзеным выпадку мы бачым выкарыстанне тэхнік абыходу і спробу загрузкі шыфравальшчыкаў:
Можна заўважыць, што ў дадзеным выпадку эмуляцыя выраблялася ў дзвюх сістэмах (Win 7, Win XP) і розных версіях ПЗ (Office, Adobe). Ніжэй ёсць відэа (слайд-шоў) з працэсам адкрыцця гэтага файла ў пясочніцы:
Прыклад відэа:
У самым канцы мы можам падрабязна бачыць як развівалася атака. Або ў таблічным выглядзе, або ў графічным:
Там жа мы можам спампаваць гэтую інфармацыю ў RAW фармаце і pcap файл, для дэталёвай аналітыкі генераванага трафіку ў Wireshark:
Заключэнне
Выкарыстоўваючы дадзеную інфармацыю можна істотна ўзмацніць абарону вашай сеткі. Заблакаваць хасты распаўсюджвання вірусаў, зачыніць выкарыстоўваныя ўразлівасці, заблакаваць магчымую зваротную сувязь з C&C і шматлікае іншае. Не варта грэбаваць дадзенай аналітыкай.
У наступных артыкулах мы аналагічным чынам разгледзім справаздачы SandBlast Agent, SnadBlast Mobile, а таксама CloudGiard SaaS. Так што сочыце за абнаўленнямі (, , , )!
Крыніца: habr.com