Benvenuti à una nova serie di articuli, sta volta nantu à u tema di l'investigazione di incidenti, vale à dì, l'analisi di malware utilizendu Check Point forensics. Avemu publicatu prima
Perchè hè impurtante a prevenzione di incidenti forensica? Sembra chì avete pigliatu u virus, hè digià bonu, perchè trattà cun ellu? Comu a pratica mostra, hè cunsigliatu micca solu di bluccà un attaccu, ma ancu di capisce esattamente cumu si travaglia: quale era u puntu di entrata, chì vulnerabilità hè stata utilizata, chì prucessi eranu implicati, se u registru è u sistema di schedari sò stati affettati, chì famiglia. di virus, quale dannu potenziale, ecc. Questa è altre dati utili ponu esse ottenute da i rapporti forensici cumpleti di Check Point (sia testu sia graficu). Hè assai difficiuli di ottene un tali rapportu manualmente. Queste dati ponu aiutà à piglià l'azzioni appropritate è impediscenu attacchi simili di successu in u futuru. Oghje guardemu à u rapportu forensicu di Check Point SandBlast Network.
Rete SandBlast
L'usu di sandboxes per rinfurzà a prutezzione di u perimetru di a rete hè statu longu cumune è hè cum'è cumpunente cum'è ubligatoriu cum'è IPS. À u Check Point, a lama di Emulazione di Minaccia, chì face parte di e tecnulugia SandBlast (ci hè ancu Threat Extraction), hè rispunsevule per a funziunalità sandbox. Avemu digià publicatu prima
- SandBlast Appliance Locale - un appliance SandBlast supplementu hè stallatu nantu à a vostra reta, à quale i schedari sò mandati per l'analisi.
- SandBlast Cloud - i schedari sò mandati per l'analisi à u nuvulu Check Point.
U sandbox pò esse cunsideratu l'ultima linea di difesa à u perimetru di a reta. Cunnette solu dopu l'analisi per i mezi classici - antivirus, IPS. E se tali strumenti di firma tradiziunali ùn furnisce micca praticamenti alcuna analisi, allora u sandbox pò "dice" in dettagliu perchè u schedariu hè statu bluccatu è ciò chì hè esattamente maliziusu. Stu rapportu forensicu pò esse ottenutu da un sandbox lucale è nuvola.
Check Point Forensics Report
Dicemu chì voi, cum'è un specialista di sicurezza di l'infurmazioni, hè ghjuntu à travaglià è hà apertu un dashboard in SmartConsole. Immediatamente vi vede incidenti per l'ultime 24 ore è a vostra attenzione hè attirata da l'avvenimenti di Emulazione di Minaccia - l'attacchi più periculosi chì ùn sò micca stati bluccati da l'analisi di firma.
Pudete "perforà" in questi avvenimenti è vede tutti i logs per a lama di Emulazione di Minaccia.
Dopu questu, pudete ancu filtrà i logs per livellu di criticità di minaccia (gravità), è ancu per Livellu di cunfidenza (affidabilità di a risposta):
Dopu avè allargatu l'avvenimentu chì ci interessa, pudemu avè familiarizatu cù l'infurmazioni generale (src, dst, gravità, mittente, etc.):
È quì pudete vede a rùbbrica Forensica cun disponibile Suntu rapportu. Cliccà nantu à ellu apre un analisi detallatu di u malware in forma di una pagina HTML interattiva:
(Questu hè una parte di a pagina.
Da u listessu rapportu, pudemu scaricà u malware originale (in un archiviu prutettu da password), o cuntattate immediatamente u squadra di risposta di u Check Point.
Appena quì sottu pudete vede una bella animazione chì mostra in termini percentuali chì u codice malicioso digià cunnisciutu chì a nostra istanza hà in cumunu (cumpresu u codice stessu è macros). Queste analitiche sò furnite cù l'apprendimentu automaticu in u Check Point Threat Cloud.
Allora pudete vede esattamente ciò chì attività in u sandbox ci hà permessu di cuncludi chì stu schedariu hè maliziusu. In questu casu, vedemu l'usu di tecniche di bypass è un tentativu di scaricà ransomware:
Pò esse nutatu chì in questu casu, l'emulazione hè stata realizata in dui sistemi (Win 7, Win XP) è diverse versioni di software (Office, Adobe). Sottu ci hè un video (slide show) cù u prucessu di apre stu schedariu in u sandbox:
Video d'esempiu:
À a fine, pudemu vede in dettagliu cumu si sviluppau l'attaccu. Sia in forma tabulare o graficamente:
Quì pudemu scaricà sta infurmazione in formatu RAW è un schedariu pcap per analitiche dettagliate di u trafficu generatu in Wireshark:
cunchiusioni
Utilizendu sta informazione, pudete rinfurzà significativamente a prutezzione di a vostra reta. Bloccà l'ospiti di distribuzione di virus, chjude vulnerabili sfruttate, bluccà eventuali feedback da C&C è assai di più. Questa analisi ùn deve esse trascurata.
In l'articuli seguenti, guardemu in modu simile à i rapporti di SandBlast Agent, SnadBlast Mobile, è ancu CloudGiard SaaS. Allora stammi sintonizzati (
Source: www.habr.com