Benvenuti à una nova serie di articuli, sta volta nantu à u tema di l'investigazione di incidenti, vale à dì, l'analisi di malware utilizendu Check Point forensics. Avemu publicatu prima nantu à u travagliu in Smart Event, ma sta volta guardemu i rapporti forensici nantu à avvenimenti specifichi in diversi prudutti Check Point:
Perchè hè impurtante a prevenzione di incidenti forensica? Sembra chì avete pigliatu u virus, hè digià bonu, perchè trattà cun ellu? Comu a pratica mostra, hè cunsigliatu micca solu di bluccà un attaccu, ma ancu di capisce esattamente cumu si travaglia: quale era u puntu di entrata, chì vulnerabilità hè stata utilizata, chì prucessi eranu implicati, se u registru è u sistema di schedari sò stati affettati, chì famiglia. di virus, quale dannu potenziale, ecc. Questa è altre dati utili ponu esse ottenute da i rapporti forensici cumpleti di Check Point (sia testu sia graficu). Hè assai difficiuli di ottene un tali rapportu manualmente. Queste dati ponu aiutà à piglià l'azzioni appropritate è impediscenu attacchi simili di successu in u futuru. Oghje guardemu à u rapportu forensicu di Check Point SandBlast Network.
Rete SandBlast
L'usu di sandboxes per rinfurzà a prutezzione di u perimetru di a rete hè statu longu cumune è hè cum'è cumpunente cum'è ubligatoriu cum'è IPS. À u Check Point, a lama di Emulazione di Minaccia, chì face parte di e tecnulugia SandBlast (ci hè ancu Threat Extraction), hè rispunsevule per a funziunalità sandbox. Avemu digià publicatu prima ancu per a versione Gaia 77.30 (Vi cunsigliu assai di fighjà si ùn avete micca capitu di ciò chì parlemu avà). Da un puntu di vista architettonicu, nunda hà cambiatu fundamentalmente da tandu. Se tenete un Check Point Gateway in u perimetru di a vostra reta, pudete aduprà duie opzioni per integrazione cù u sandbox:
- SandBlast Appliance Locale - un appliance SandBlast supplementu hè stallatu nantu à a vostra reta, à quale i schedari sò mandati per l'analisi.
- SandBlast Cloud - i schedari sò mandati per l'analisi à u nuvulu Check Point.
U sandbox pò esse cunsideratu l'ultima linea di difesa à u perimetru di a reta. Cunnette solu dopu l'analisi per i mezi classici - antivirus, IPS. E se tali strumenti di firma tradiziunali ùn furnisce micca praticamenti alcuna analisi, allora u sandbox pò "dice" in dettagliu perchè u schedariu hè statu bluccatu è ciò chì hè esattamente maliziusu. Stu rapportu forensicu pò esse ottenutu da un sandbox lucale è nuvola.
Check Point Forensics Report
Dicemu chì voi, cum'è un specialista di sicurezza di l'infurmazioni, hè ghjuntu à travaglià è hà apertu un dashboard in SmartConsole. Immediatamente vi vede incidenti per l'ultime 24 ore è a vostra attenzione hè attirata da l'avvenimenti di Emulazione di Minaccia - l'attacchi più periculosi chì ùn sò micca stati bluccati da l'analisi di firma.
Pudete "perforà" in questi avvenimenti è vede tutti i logs per a lama di Emulazione di Minaccia.
Dopu questu, pudete ancu filtrà i logs per livellu di criticità di minaccia (gravità), è ancu per Livellu di cunfidenza (affidabilità di a risposta):
Dopu avè allargatu l'avvenimentu chì ci interessa, pudemu avè familiarizatu cù l'infurmazioni generale (src, dst, gravità, mittente, etc.):
È quì pudete vede a rùbbrica Forensica cun disponibile Suntu rapportu. Cliccà nantu à ellu apre un analisi detallatu di u malware in forma di una pagina HTML interattiva:
(Questu hè una parte di a pagina. )
Da u listessu rapportu, pudemu scaricà u malware originale (in un archiviu prutettu da password), o cuntattate immediatamente u squadra di risposta di u Check Point.
Appena quì sottu pudete vede una bella animazione chì mostra in termini percentuali chì u codice malicioso digià cunnisciutu chì a nostra istanza hà in cumunu (cumpresu u codice stessu è macros). Queste analitiche sò furnite cù l'apprendimentu automaticu in u Check Point Threat Cloud.
Allora pudete vede esattamente ciò chì attività in u sandbox ci hà permessu di cuncludi chì stu schedariu hè maliziusu. In questu casu, vedemu l'usu di tecniche di bypass è un tentativu di scaricà ransomware:
Pò esse nutatu chì in questu casu, l'emulazione hè stata realizata in dui sistemi (Win 7, Win XP) è diverse versioni di software (Office, Adobe). Sottu ci hè un video (slide show) cù u prucessu di apre stu schedariu in u sandbox:
Video d'esempiu:
À a fine, pudemu vede in dettagliu cumu si sviluppau l'attaccu. Sia in forma tabulare o graficamente:
Quì pudemu scaricà sta infurmazione in formatu RAW è un schedariu pcap per analitiche dettagliate di u trafficu generatu in Wireshark:
cunchiusioni
Utilizendu sta informazione, pudete rinfurzà significativamente a prutezzione di a vostra reta. Bloccà l'ospiti di distribuzione di virus, chjude vulnerabili sfruttate, bluccà eventuali feedback da C&C è assai di più. Questa analisi ùn deve esse trascurata.
In l'articuli seguenti, guardemu in modu simile à i rapporti di SandBlast Agent, SnadBlast Mobile, è ancu CloudGiard SaaS. Allora stammi sintonizzati (, , , )!
Source: www.habr.com