Сардэчна запрашаем на новы цыкл артыкулаў, на гэты раз па тэме расследавання інцыдэнтаў, а менавіта - аналізу зловредов з дапамогай форензікі Check Point. Раней мы публікавалі
Чаму важная фарэнзіка прадухіленых інцыдэнтаў? Здавалася б, злавіў вірус, ужо добра, навошта з ім разбірацца? Як паказвае практыка, атаку пажадана не проста блакаваць, але і разумець, як менавіта яна працуе: якая была кропка ўваходу, якая выкарыстоўвалася ўразлівасць, якія працэсы задзейнічаны, ці закранаецца рэестр і файлавая сістэма, якое сямейства вірусаў, якая патэнцыйная шкода і г.д . Гэтыя і іншыя карысныя дадзеныя можна атрымаць у вычарпальных справаздачах форензікі Check Point (як у тэкставым, так і графічным выглядзе). Атрымаць такую справаздачу ўручную вельмі цяжка. Затым гэтыя дадзеныя могуць дапамагчы прыняць патрэбныя меры і выключыць магчымасць поспеху падобных нападаў у будучыні. Сёння мы разгледзім справаздачу фарэнзікі Check Point SandBlast Network.
SandBlast Network
Выкарыстанне пясочніц, для ўзмацнення абароны перыметра сеткі, ужо даўно стала звычайнай справай і такім жа абавязковым кампанентам, як IPS. У Check Point за функцыянал пясочніцы адказвае блейд Threat Emulation, які і ўваходзіць у склад тэхналогій SandBlast (там жа ёсць яшчэ Threat Extraction). Мы ўжо публікавалі раней
- SandBlast Local Appliance - да вас у сетку ставіцца дадатковы SandBlast appliance, на які і адпраўляюцца файлы для аналізу.
- SandBlast Cloud - файлы адпраўляюцца на аналіз у воблака Check Point.
Пясочніцу можна лічыць апошняй мяжой абароны на перыметры сеткі. Яна падключаецца толькі пасля аналізу класічнымі сродкамі - антывірусам, IPS. І калі такія традыцыйныя сігнатурныя сродкі не даюць практычна ніякай аналітыкі, то пясочніца можа падрабязна "распавесці" чаму файл быў заблакаваны і што менавіта шкоднага ён робіць. Такую справаздачу форензікі можна атрымаць як ад лакальнай, так і ад хмарнай пясочніцы.
Check Point Forensics Report
Дапусцім вы, як ИБ адмысловец, дашлі на працу і адкрылі дашборд у SmartConsole. Тут жа вы бачыце інцыдэнты за апошнія 24 гадзіны і вашу ўвагу прыцягваюць падзеі Threat Emulation - найбольш небяспечныя атакі, якія не былі заблакаваныя сігнатурным аналізам.
Вы можаце “праваліцца” ў гэтыя падзеі (drill down) і паглядзець усе логі па блейдзе Threat Emulation.
Пасля гэтага можна дадаткова адфільтраваць логі па ўзроўні крытычнасці пагроз (Severity), а таксама па Confidence Level (надзейнасць спрацоўвання):
Расчыніўшы цікавую для нас падзею можна азнаёміцца з агульнай інфармацыяй (src, dst, severity, sender і г.д.):
І там жа можна заўважыць раздзел Судовая медыцына з даступным Рэзюмэ справаздачай. Націснуўшы на яго перад намі адкрыецца падрабязны разбор зловреда ў выглядзе інтэрактыўнай HTML старонкі:
(Гэта частка старонкі.
З гэтай жа справаздачы мы можам спампаваць арыгінал зловреда (у запараленым архіве), альбо адразу звязацца з камандай рэагавання Check Point.
Крыху ніжэй можна ўбачыць прыгожую анімацыю, якая ў працэнтных суадносінах паказвае, з якім ужо вядомым шкоднасным кодам пераклікаецца наш асобнік (уключаючы сам код і макрасы). Гэтая аналітыка падаецца з ужываннем машыннага навучання ў воблаку Check Point Threat Cloud.
Затым можна паглядзець якія менавіта актыўнасці ў пясочніцы дазволілі зрабіць выснову аб шкоднасці гэтага файла. У дадзеным выпадку мы бачым выкарыстанне тэхнік абыходу і спробу загрузкі шыфравальшчыкаў:
Можна заўважыць, што ў дадзеным выпадку эмуляцыя выраблялася ў дзвюх сістэмах (Win 7, Win XP) і розных версіях ПЗ (Office, Adobe). Ніжэй ёсць відэа (слайд-шоў) з працэсам адкрыцця гэтага файла ў пясочніцы:
Прыклад відэа:
У самым канцы мы можам падрабязна бачыць як развівалася атака. Або ў таблічным выглядзе, або ў графічным:
Там жа мы можам спампаваць гэтую інфармацыю ў RAW фармаце і pcap файл, для дэталёвай аналітыкі генераванага трафіку ў Wireshark:
Заключэнне
Выкарыстоўваючы дадзеную інфармацыю можна істотна ўзмацніць абарону вашай сеткі. Заблакаваць хасты распаўсюджвання вірусаў, зачыніць выкарыстоўваныя ўразлівасці, заблакаваць магчымую зваротную сувязь з C&C і шматлікае іншае. Не варта грэбаваць дадзенай аналітыкай.
У наступных артыкулах мы аналагічным чынам разгледзім справаздачы SandBlast Agent, SnadBlast Mobile, а таксама CloudGiard SaaS. Так што сочыце за абнаўленнямі (
Крыніца: habr.com