🥇1. Анализ на зловреден софтуер с помощта на криминалистиката на Check Point. Мрежа SandBlast

Добре дошли в нова поредица от статии, този път по темата за разследване на инциденти, а именно анализ на зловреден софтуер с помощта на криминалистиката на Check Point. По-рано публикувахме няколко видео урока за работа в Smart Event, но този път ще разгледаме съдебни доклади за конкретни събития в различни продукти на Check Point:

Защо криминалистиката за предотвратяване на инциденти е важна? Изглежда, че сте хванали вируса, вече е добре, защо да се занимавате с него? Както показва практиката, препоръчително е не само да блокирате атака, но и да разберете как точно работи: каква е входната точка, каква уязвимост е използвана, какви процеси са включени, дали регистърът и файловата система са засегнати, какво семейство на вируси, какви потенциални щети и т.н. Тази и други полезни данни могат да бъдат получени от изчерпателните съдебни доклади на Check Point (както текстови, така и графични). Много е трудно да се получи такъв отчет ръчно. След това тези данни могат да помогнат за предприемане на подходящи действия и предотвратяване на подобни атаки от успех в бъдеще. Днес ще разгледаме съдебния доклад на Check Point SandBlast Network.

Мрежа SandBlast

Използването на пясъчници за укрепване на защитата на мрежовия периметър отдавна е станало обичайно и е също толкова задължителен компонент, колкото и IPS. В Check Point блейдът Threat Emulation, който е част от технологиите SandBlast (има и Threat Extraction), отговаря за функционалността на пясъчника. Вече сме публикували преди малък курс по Check Point SandBlast също и за версия Gaia 77.30 (горещо препоръчвам да го гледате, ако не разбирате за какво говорим сега). От архитектурна гледна точка нищо не се е променило фундаментално оттогава. Ако имате Check Point Gateway в периметъра на вашата мрежа, тогава можете да използвате две опции за интеграция с пясъчната среда:

Местен уред SandBlast — във вашата мрежа е инсталирано допълнително устройство SandBlast, към което се изпращат файлове за анализ.
SandBlast Cloud — файловете се изпращат за анализ в облака Check Point.

Пясъчната кутия може да се счита за последната линия на защита в периметъра на мрежата. Свързва се само след анализ с класически средства - антивирусна, IPS. И ако такива традиционни инструменти за подписване не предоставят практически никакви анализи, тогава пясъчната среда може да „разкаже“ подробно защо файлът е блокиран и какво точно злонамерено прави. Този съдебномедицински доклад може да бъде получен както от локална, така и от облачна пясъчна среда.

Съдебномедицински доклад на Check Point

Да приемем, че вие като специалист по информационна сигурност сте дошли на работа и сте отворили табло за управление в SmartConsole. Веднага виждате инциденти за последните 24 часа и вниманието ви е насочено към събитията за емулация на заплахи - най-опасните атаки, които не са били блокирани от анализ на сигнатура.

Можете да „разгледате“ тези събития и да видите всички регистрационни файлове за блейда Threat Emulation.

След това можете допълнително да филтрирате регистрационните файлове по ниво на критичност на заплахата (сериозност), както и по ниво на доверие (надеждност на отговора):

След като разширим събитието, което ни интересува, можем да се запознаем с общата информация (src, dst, тежест, подател и т.н.):

И там можете да видите секцията Криминалистика с налични Oбобщение отчет. Щракването върху него ще отвори подробен анализ на зловреден софтуер под формата на интерактивна HTML страница:

(Това е част от страницата. Оригиналът може да се види тук)

От същия доклад можем да изтеглим оригиналния зловреден софтуер (в защитен с парола архив) или незабавно да се свържем с екипа за реагиране на Check Point.

Точно по-долу можете да видите красива анимация, която показва в проценти кой вече известен злонамерен код е общ за нашия екземпляр (включително самия код и макроси). Тези анализи се доставят с помощта на машинно обучение в Check Point Threat Cloud.

След това можете да видите точно какви дейности в пясъчника ни позволиха да заключим, че този файл е злонамерен. В този случай виждаме използването на техники за заобикаляне и опит за изтегляне на ransomware:

Може да се отбележи, че в този случай емулацията е извършена в две системи (Win 7, Win XP) и различни версии на софтуера (Office, Adobe). По-долу има видео (слайдшоу) с процеса на отваряне на този файл в пясъчника:

Примерно видео:

В самия край можем да видим в детайли как се разви атаката. Или в таблична форма, или графично:

Там можем да изтеглим тази информация в RAW формат и pcap файл за подробен анализ на генерирания трафик в Wireshark:

Заключение

Използвайки тази информация, можете значително да подобрите защитата на вашата мрежа. Блокирайте хостове за разпространение на вируси, затворете експлоатирани уязвимости, блокирайте възможна обратна връзка от C&C и много други. Този анализ не трябва да се пренебрегва.

В следващите статии ще разгледаме по подобен начин отчетите на SandBlast Agent, SnadBlast Mobile, както и CloudGiard SaaS. Така че оставайте на линия (Telegram, Facebook, VK, Блог за TS Solution)!

Източник: www.habr.com

1. Анализ на зловреден софтуер с помощта на криминалистиката на Check Point. Мрежа SandBlast

Мрежа SandBlast

Съдебномедицински доклад на Check Point

Заключение

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар