Velkommen til en ny serie af artikler, denne gang om emnet efterforskning af hændelser, nemlig malware-analyse ved hjælp af Check Point-efterforskning. Vi har tidligere offentliggjort om at arbejde i Smart Event, men denne gang vil vi se på retsmedicinske rapporter om specifikke begivenheder i forskellige Check Point-produkter:
Hvorfor er hændelsesforebyggende retsmedicin vigtig? Det ser ud til, at du har fanget virussen, den er allerede god, hvorfor håndtere den? Som praksis viser, er det tilrådeligt ikke kun at blokere et angreb, men også at forstå præcis, hvordan det virker: hvad indgangspunktet var, hvilken sårbarhed der blev brugt, hvilke processer er involveret, om registreringsdatabasen og filsystemet er påvirket, hvilken familie af vira, hvilke potentielle skader osv. . Disse og andre nyttige data kan fås fra Check Points omfattende retsmedicinske rapporter (både tekst og grafiske). Det er meget vanskeligt at få en sådan rapport manuelt. Disse data kan så hjælpe med at træffe passende foranstaltninger og forhindre lignende angreb i at lykkes i fremtiden. I dag vil vi se på Check Point SandBlast Networks retsmedicinske rapport.
SandBlast netværk
Brugen af sandkasser til at styrke beskyttelsen af netværkets perimeter er for længst blevet almindelig og er en lige så obligatorisk komponent som IPS. Hos Check Point er Threat Emulation-bladet, som er en del af SandBlast-teknologierne (der er også Threat Extraction), ansvarlig for sandkassefunktionaliteten. Vi har allerede offentliggjort før også til version Gaia 77.30 (jeg anbefaler stærkt at se den, hvis du ikke forstår, hvad vi taler om nu). Fra et arkitektonisk synspunkt har intet fundamentalt ændret sig siden da. Hvis du har en Check Point Gateway i omkredsen af dit netværk, kan du bruge to muligheder for integration med sandkassen:
- SandBlast lokalt apparat — Der er installeret et ekstra SandBlast-apparat på dit netværk, hvortil filer sendes til analyse.
- SandBlast Cloud — filer sendes til analyse til Check Point-skyen.
Sandkassen kan betragtes som den sidste forsvarslinje ved netværkets omkreds. Det forbinder kun efter analyse med klassiske midler - antivirus, IPS. Og hvis sådanne traditionelle signaturværktøjer ikke giver praktisk talt nogen analyse, så kan sandkassen "fortælle" i detaljer, hvorfor filen blev blokeret, og hvad præcist ondsindet den gør. Denne retsmedicinske rapport kan fås fra både en lokal sandkasse og en skysandkasse.
Check Point Forensics Report
Lad os sige, at du som informationssikkerhedsspecialist kom på arbejde og åbnede et dashboard i SmartConsole. Straks ser du hændelser inden for de sidste 24 timer, og din opmærksomhed henledes på Threat Emulation-hændelser - de farligste angreb, der ikke blev blokeret af signaturanalyse.
Du kan "bore ned" i disse begivenheder og se alle logfilerne for Threat Emulation-bladet.
Herefter kan du desuden filtrere logfilerne efter trusselskritiskitetsniveau (alvorlighedsgrad) samt efter konfidensniveau (svarets pålidelighed):
Efter at have udvidet arrangementet, vi er interesseret i, kan vi stifte bekendtskab med de generelle oplysninger (src, dst, alvor, afsender osv.):
Og der kan du se afsnittet Forensics med tilgængelig Resumé rapport. Ved at klikke på den åbnes en detaljeret analyse af malwaren i form af en interaktiv HTML-side:
(Dette er en del af siden. )
Fra den samme rapport kan vi downloade den originale malware (i et adgangskodebeskyttet arkiv) eller straks kontakte Check Points svarteam.
Lige nedenfor kan du se en smuk animation, der i procent viser, hvilken allerede kendt ondsindet kode vores instans har til fælles (inklusive selve koden og makroer). Disse analyser leveres ved hjælp af maskinlæring i Check Point Threat Cloud.
Så kan du se præcis, hvilke aktiviteter i sandkassen, der tillod os at konkludere, at denne fil er skadelig. I dette tilfælde ser vi brugen af bypass-teknikker og et forsøg på at downloade ransomware:
Det kan bemærkes, at i dette tilfælde blev emulering udført i to systemer (Win 7, Win XP) og forskellige softwareversioner (Office, Adobe). Nedenfor er der en video (diasshow) med processen med at åbne denne fil i sandkassen:
Eksempel video:
Til allersidst kan vi i detaljer se, hvordan angrebet udviklede sig. Enten i tabelform eller grafisk:
Der kan vi downloade disse oplysninger i RAW-format og en pcap-fil til detaljerede analyser af den genererede trafik i Wireshark:
Konklusion
Ved at bruge disse oplysninger kan du styrke beskyttelsen af dit netværk betydeligt. Bloker virusdistributionsværter, luk udnyttede sårbarheder, bloker mulig feedback fra C&C og meget mere. Denne analyse bør ikke ignoreres.
I de følgende artikler vil vi på samme måde se på rapporterne fra SandBlast Agent, SnadBlast Mobile samt CloudGiard SaaS. Så følg med (, , , )!
Kilde: www.habr.com