Croeso i gyfres newydd o erthyglau, y tro hwn ar bwnc ymchwilio i ddigwyddiadau, sef dadansoddi malware gan ddefnyddio fforensig Check Point. Cyhoeddasom yn flaenorol
Pam mae fforensig atal digwyddiadau yn bwysig? Mae'n ymddangos eich bod wedi dal y firws, mae eisoes yn dda, pam delio ag ef? Fel y dengys arfer, fe'ch cynghorir nid yn unig i rwystro ymosodiad, ond hefyd i ddeall yn union sut mae'n gweithio: beth oedd y pwynt mynediad, pa fregusrwydd a ddefnyddiwyd, pa brosesau sydd dan sylw, a yw'r gofrestrfa a'r system ffeiliau yn cael eu heffeithio, pa deulu o firysau, pa ddifrod posibl, ac ati . Gellir cael hwn a data defnyddiol arall o adroddiadau fforensig cynhwysfawr Check Point (yn destun a graffigol). Mae'n anodd iawn cael adroddiad o'r fath â llaw. Gall y data hwn wedyn helpu i gymryd camau priodol ac atal ymosodiadau tebyg rhag llwyddo yn y dyfodol. Heddiw, byddwn yn edrych ar adroddiad fforensig Rhwydwaith SandBlast Check Point.
Rhwydwaith SandBlast
Mae defnyddio blychau tywod i gryfhau amddiffyniad perimedr y rhwydwaith wedi bod yn gyffredin ers tro ac mae mor orfodol ag IPS. Yn Check Point, mae'r llafn Threat Emulation, sy'n rhan o dechnolegau SandBlast (mae Threat Extraction hefyd), yn gyfrifol am ymarferoldeb y blwch tywod. Rydym eisoes wedi cyhoeddi o'r blaen
- Offer Lleol SandBlast - gosodir teclyn SandBlast ychwanegol ar eich rhwydwaith, ac anfonir ffeiliau ato i'w dadansoddi.
- Cwmwl SandBlast — anfonir ffeiliau i'w dadansoddi i'r cwmwl Check Point.
Gellir ystyried y blwch tywod fel y llinell amddiffyn olaf ar berimedr y rhwydwaith. Mae'n cysylltu dim ond ar ôl dadansoddiad trwy ddulliau clasurol - antivirus, IPS. Ac os nad yw offer llofnod traddodiadol o'r fath yn darparu bron unrhyw ddadansoddeg, yna gall y blwch tywod “ddweud” yn fanwl pam y cafodd y ffeil ei rhwystro a beth yn union faleisus y mae'n ei wneud. Gellir cael yr adroddiad fforensig hwn o flwch tywod lleol a cwmwl.
Adroddiad Fforensig Pwynt Gwirio
Gadewch i ni ddweud eich bod chi, fel arbenigwr diogelwch gwybodaeth, wedi dod i'r gwaith ac wedi agor dangosfwrdd yn SmartConsole. Ar unwaith fe welwch ddigwyddiadau am y 24 awr ddiwethaf a thynnir eich sylw at ddigwyddiadau Emulation Threat - yr ymosodiadau mwyaf peryglus na chawsant eu rhwystro gan ddadansoddiad llofnod.
Gallwch “drilio i lawr” i mewn i'r digwyddiadau hyn a gweld yr holl foncyffion ar gyfer y llafn Emulation Threat.
Ar ôl hyn, gallwch hefyd hidlo'r logiau yn ôl lefel critigol bygythiad (Difrifoldeb), yn ogystal â Lefel Hyder (dibynadwyedd ymateb):
Ar ôl ehangu'r digwyddiad y mae gennym ddiddordeb ynddo, gallwn ddod yn gyfarwydd â'r wybodaeth gyffredinol (src, dst, difrifoldeb, anfonwr, ac ati):
Ac yno gallwch weld yr adran Fforensig ag sydd ar gael Crynodeb adroddiad. Bydd clicio arno yn agor dadansoddiad manwl o'r malware ar ffurf tudalen HTML ryngweithiol:
(Mae hwn yn rhan o'r dudalen.
O'r un adroddiad, gallwn lawrlwytho'r malware gwreiddiol (mewn archif a ddiogelir gan gyfrinair), neu gysylltu â thîm ymateb Check Point ar unwaith.
Ychydig islaw gallwch weld animeiddiad hardd sy'n dangos mewn termau canrannol pa god maleisus sydd eisoes yn hysbys i'n hachos yn gyffredin (gan gynnwys y cod ei hun a macros). Cyflwynir y dadansoddiadau hyn gan ddefnyddio dysgu peirianyddol yn y Check Point Threat Cloud.
Yna gallwch weld yn union pa weithgareddau yn y blwch tywod a ganiataodd i ni ddod i'r casgliad bod y ffeil hon yn faleisus. Yn yr achos hwn, gwelwn y defnydd o dechnegau ffordd osgoi ac ymgais i lawrlwytho ransomware:
Gellir nodi, yn yr achos hwn, bod efelychu wedi'i wneud mewn dwy system (Win 7, Win XP) a fersiynau meddalwedd gwahanol (Office, Adobe). Isod mae fideo (sioe sleidiau) gyda'r broses o agor y ffeil hon yn y blwch tywod:
Fideo enghreifftiol:
Ar y diwedd gallwn weld yn fanwl sut y datblygodd yr ymosodiad. Naill ai ar ffurf tabl neu ar ffurf graff:
Yno, gallwn lawrlwytho'r wybodaeth hon mewn fformat RAW a ffeil pcap ar gyfer dadansoddiadau manwl o'r traffig a gynhyrchir yn Wireshark:
Casgliad
Gan ddefnyddio'r wybodaeth hon, gallwch chi gryfhau amddiffyniad eich rhwydwaith yn sylweddol. Rhwystro gwesteiwyr dosbarthu firws, cau gwendidau a ecsbloetiwyd, rhwystro adborth posibl gan C&C a llawer mwy. Ni ddylid esgeuluso'r dadansoddiad hwn.
Yn yr erthyglau canlynol, byddwn yn yr un modd yn edrych ar adroddiadau Asiant SandBlast, SnadBlast Mobile, yn ogystal â CloudGiard SaaS. Felly cadwch draw (
Ffynhonnell: hab.com