Vítejte u nové série článků, tentokrát na téma vyšetřování incidentů, konkrétně analýzy malwaru pomocí forenzní analýzy Check Point. Dříve jsme publikovali
Proč je forenzní prevence incidentů důležitá? Zdá se, že jste virus chytili, už je dobrý, proč se tím zabývat? Jak ukazuje praxe, je vhodné nejen zablokovat útok, ale také přesně porozumět tomu, jak funguje: jaký byl vstupní bod, jaká zranitelnost byla použita, jaké procesy jsou zapojeny, zda je ovlivněn registr a souborový systém, jaká rodina virů, jaké potenciální škody atd. . Tato a další užitečná data lze získat z komplexních forenzních zpráv Check Point (textových i grafických). Získat takovou zprávu ručně je velmi obtížné. Tato data pak mohou pomoci přijmout vhodná opatření a zabránit tomu, aby podobné útoky v budoucnu uspěly. Dnes se podíváme na forenzní zprávu Check Point SandBlast Network.
Síť SandBlast
Používání sandboxů k posílení ochrany perimetru sítě je již dlouho samozřejmostí a je stejně povinnou součástí jako IPS. V Check Point je za funkčnost sandboxu zodpovědný blade Threat Emulation, který je součástí technologií SandBlast (existuje i Threat Extraction). Již jsme publikovali dříve
- Místní zařízení SandBlast — ve vaší síti je nainstalováno další zařízení SandBlast, do kterého jsou odesílány soubory k analýze.
- SandBlast Cloud — soubory jsou odesílány k analýze do cloudu Check Point.
Sandbox lze považovat za poslední obrannou linii na perimetru sítě. Připojuje se až po analýze klasickými prostředky - antivirus, IPS. A pokud takové tradiční nástroje pro podpisy neposkytují prakticky žádnou analýzu, pak sandbox může „sdělit“ podrobně, proč byl soubor zablokován a co přesně dělá škodlivého. Tuto forenzní zprávu lze získat z místní i cloudové karantény.
Forenzní zpráva Check Point
Řekněme, že jste jako specialista na informační bezpečnost přišli do práce a otevřeli jste řídicí panel ve SmartConsole. Okamžitě uvidíte incidenty za posledních 24 hodin a vaši pozornost upoutají události Threat Emulation – nejnebezpečnější útoky, které nebyly blokovány analýzou signatur.
Tyto události můžete „provrtat“ a prohlédnout si všechny protokoly pro čepel Emulation Threat.
Poté můžete protokoly navíc filtrovat podle úrovně kritickosti hrozeb (závažnosti) a také podle úrovně spolehlivosti (spolehlivost reakce):
Po rozšíření události, která nás zajímá, se můžeme seznámit s obecnými informacemi (src, dst, závažnost, odesílatel atd.):
A tam můžete vidět sekci Forenzní s dostupnými Shrnutí zpráva. Kliknutím na něj se otevře podrobná analýza malwaru ve formě interaktivní HTML stránky:
(Toto je část stránky.
Ze stejné zprávy si můžeme stáhnout původní malware (v archivu chráněném heslem), nebo rovnou kontaktovat tým odpovědí Check Point.
Hned níže můžete vidět krásnou animaci, která v procentech ukazuje, který již známý škodlivý kód má naše instance společný (včetně samotného kódu a maker). Tyto analýzy jsou poskytovány pomocí strojového učení v cloudu Check Point Threat Cloud.
Pak můžete přesně vidět, jaké aktivity v karanténě nám umožnily dojít k závěru, že tento soubor je škodlivý. V tomto případě vidíme použití obtokových technik a pokus o stažení ransomwaru:
Lze poznamenat, že v tomto případě byla emulace provedena ve dvou systémech (Win 7, Win XP) a různých verzích softwaru (Office, Adobe). Níže je video (prezentace) s procesem otevření tohoto souboru v karanténě:
Příklad videa:
Na úplném konci můžeme podrobně vidět, jak se útok vyvíjel. Buď v tabulkové formě nebo graficky:
Zde si můžeme stáhnout tyto informace ve formátu RAW a soubor pcap pro podrobnou analýzu generovaného provozu ve Wiresharku:
Závěr
Pomocí těchto informací můžete výrazně posílit ochranu vaší sítě. Blokujte hostitele distribuce virů, zavřete zneužitá zranitelnost, blokujte možnou zpětnou vazbu od C&C a mnoho dalšího. Tato analýza by neměla být opomíjena.
V následujících článcích se podobně podíváme na zprávy SandBlast Agent, SnadBlast Mobile a také CloudGiard SaaS. Takže zůstaňte naladěni (
Zdroj: www.habr.com