Croeso i gyfres newydd o erthyglau, y tro hwn ar bwnc ymchwilio i ddigwyddiadau, sef dadansoddi malware gan ddefnyddio fforensig Check Point. Cyhoeddasom yn flaenorol ar weithio yn Smart Event, ond y tro hwn byddwn yn edrych ar adroddiadau fforensig ar ddigwyddiadau penodol mewn gwahanol gynhyrchion Check Point:
Pam mae fforensig atal digwyddiadau yn bwysig? Mae'n ymddangos eich bod wedi dal y firws, mae eisoes yn dda, pam delio ag ef? Fel y dengys arfer, fe'ch cynghorir nid yn unig i rwystro ymosodiad, ond hefyd i ddeall yn union sut mae'n gweithio: beth oedd y pwynt mynediad, pa fregusrwydd a ddefnyddiwyd, pa brosesau sydd dan sylw, a yw'r gofrestrfa a'r system ffeiliau yn cael eu heffeithio, pa deulu o firysau, pa ddifrod posibl, ac ati . Gellir cael hwn a data defnyddiol arall o adroddiadau fforensig cynhwysfawr Check Point (yn destun a graffigol). Mae'n anodd iawn cael adroddiad o'r fath â llaw. Gall y data hwn wedyn helpu i gymryd camau priodol ac atal ymosodiadau tebyg rhag llwyddo yn y dyfodol. Heddiw, byddwn yn edrych ar adroddiad fforensig Rhwydwaith SandBlast Check Point.
Rhwydwaith SandBlast
Mae defnyddio blychau tywod i gryfhau amddiffyniad perimedr y rhwydwaith wedi bod yn gyffredin ers tro ac mae mor orfodol ag IPS. Yn Check Point, mae'r llafn Threat Emulation, sy'n rhan o dechnolegau SandBlast (mae Threat Extraction hefyd), yn gyfrifol am ymarferoldeb y blwch tywod. Rydym eisoes wedi cyhoeddi o'r blaen hefyd ar gyfer fersiwn Gaia 77.30 (Rwy'n argymell yn fawr ei wylio os nad ydych chi'n deall yr hyn rydyn ni'n siarad amdano nawr). O safbwynt pensaernïol, nid oes dim wedi newid yn sylfaenol ers hynny. Os oes gennych Borth Pwynt Gwirio ar berimedr eich rhwydwaith, yna gallwch ddefnyddio dau opsiwn ar gyfer integreiddio â'r blwch tywod:
- Offer Lleol SandBlast - gosodir teclyn SandBlast ychwanegol ar eich rhwydwaith, ac anfonir ffeiliau ato i'w dadansoddi.
- Cwmwl SandBlast — anfonir ffeiliau i'w dadansoddi i'r cwmwl Check Point.
Gellir ystyried y blwch tywod fel y llinell amddiffyn olaf ar berimedr y rhwydwaith. Mae'n cysylltu dim ond ar ôl dadansoddiad trwy ddulliau clasurol - antivirus, IPS. Ac os nad yw offer llofnod traddodiadol o'r fath yn darparu bron unrhyw ddadansoddeg, yna gall y blwch tywod “ddweud” yn fanwl pam y cafodd y ffeil ei rhwystro a beth yn union faleisus y mae'n ei wneud. Gellir cael yr adroddiad fforensig hwn o flwch tywod lleol a cwmwl.
Adroddiad Fforensig Pwynt Gwirio
Gadewch i ni ddweud eich bod chi, fel arbenigwr diogelwch gwybodaeth, wedi dod i'r gwaith ac wedi agor dangosfwrdd yn SmartConsole. Ar unwaith fe welwch ddigwyddiadau am y 24 awr ddiwethaf a thynnir eich sylw at ddigwyddiadau Emulation Threat - yr ymosodiadau mwyaf peryglus na chawsant eu rhwystro gan ddadansoddiad llofnod.
Gallwch “drilio i lawr” i mewn i'r digwyddiadau hyn a gweld yr holl foncyffion ar gyfer y llafn Emulation Threat.
Ar ôl hyn, gallwch hefyd hidlo'r logiau yn ôl lefel critigol bygythiad (Difrifoldeb), yn ogystal â Lefel Hyder (dibynadwyedd ymateb):
Ar ôl ehangu'r digwyddiad y mae gennym ddiddordeb ynddo, gallwn ddod yn gyfarwydd â'r wybodaeth gyffredinol (src, dst, difrifoldeb, anfonwr, ac ati):
Ac yno gallwch weld yr adran Fforensig ag sydd ar gael Crynodeb adroddiad. Bydd clicio arno yn agor dadansoddiad manwl o'r malware ar ffurf tudalen HTML ryngweithiol:
(Mae hwn yn rhan o'r dudalen. )
O'r un adroddiad, gallwn lawrlwytho'r malware gwreiddiol (mewn archif a ddiogelir gan gyfrinair), neu gysylltu â thîm ymateb Check Point ar unwaith.
Ychydig islaw gallwch weld animeiddiad hardd sy'n dangos mewn termau canrannol pa god maleisus sydd eisoes yn hysbys i'n hachos yn gyffredin (gan gynnwys y cod ei hun a macros). Cyflwynir y dadansoddiadau hyn gan ddefnyddio dysgu peirianyddol yn y Check Point Threat Cloud.
Yna gallwch weld yn union pa weithgareddau yn y blwch tywod a ganiataodd i ni ddod i'r casgliad bod y ffeil hon yn faleisus. Yn yr achos hwn, gwelwn y defnydd o dechnegau ffordd osgoi ac ymgais i lawrlwytho ransomware:
Gellir nodi, yn yr achos hwn, bod efelychu wedi'i wneud mewn dwy system (Win 7, Win XP) a fersiynau meddalwedd gwahanol (Office, Adobe). Isod mae fideo (sioe sleidiau) gyda'r broses o agor y ffeil hon yn y blwch tywod:
Fideo enghreifftiol:
Ar y diwedd gallwn weld yn fanwl sut y datblygodd yr ymosodiad. Naill ai ar ffurf tabl neu ar ffurf graff:
Yno, gallwn lawrlwytho'r wybodaeth hon mewn fformat RAW a ffeil pcap ar gyfer dadansoddiadau manwl o'r traffig a gynhyrchir yn Wireshark:
Casgliad
Gan ddefnyddio'r wybodaeth hon, gallwch chi gryfhau amddiffyniad eich rhwydwaith yn sylweddol. Rhwystro gwesteiwyr dosbarthu firws, cau gwendidau a ecsbloetiwyd, rhwystro adborth posibl gan C&C a llawer mwy. Ni ddylid esgeuluso'r dadansoddiad hwn.
Yn yr erthyglau canlynol, byddwn yn yr un modd yn edrych ar adroddiadau Asiant SandBlast, SnadBlast Mobile, yn ogystal â CloudGiard SaaS. Felly cadwch draw (, , , )!
Ffynhonnell: hab.com